Lors de l'installation d'un service d'enregistrement de périphériques réseau (NDES), la question se pose de savoir sous quelle identité le pool d'applications IIS doit être exploité. Les différentes options sont présentées ci-dessous afin de faciliter le choix.
Continuer la lecture de « Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES) »Author: Uwe Gradenegger
Sur l'option "Build this from Active Directory information" pour les modèles de certificats
Lors de la configuration d'un modèle de certificat, il faut décider du contenu prévu du certificat, c'est-à-dire, entre autres, quelles identités seront confirmées par les certificats et comment ceux-ci seront représentés.
L'onglet "Subject Name" de la boîte de dialogue de configuration des modèles de certificats permet de configurer la manière dont l'identité confirmée par le certificat est représentée.
Continuer la lecture de « Zur Option „Build this from Active Directory information“ bei Zertifikatvorlagen »La vérification des certificats du contrôleur de domaine renvoie le code d'erreur ERROR_ACCESS_DENIED
Supposons le scénario suivant :
- certutil permet de vérifier les certificats des contrôleurs de domaine.
- L'opération échoue avec le message d'erreur suivant :
0: DC01 *** Testing DC[0]: DC01 Enterprise Root store: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED) KDC certificates: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED) CertUtil: -DCInfo command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED) CertUtil: Access is denied.Continuer la lecture de « Die Überprüfung der Domänencontroller-Zertifikate wirft den Fehlercode ERROR_ACCESS_DENIED »
Principes de base : Automatic Certificate Management Environment (ACME)
Le protocole ACME a été développé par les opérateurs du projet Let's Encrypt conçu pour faciliter l'exposition de Certificats de serveur web d'automatiser le processus. Il est spécifié dans RFC 8555.
L'objectif est de faciliter le processus de preuve de la possession de la ressource DNS (les adresses IP ne peuvent pas être identifiées pour l'instant, mais cela est prévu pour l'avenir), mais aussi d'améliorer la sécurité des données. pas de la personne ou de l'organisation qui se trouve derrière, afin de pouvoir ensuite obtenir un certificat de serveur web sans interaction humaine.
Continuer la lecture de « Grundlagen: Automatic Certificate Management Environment (ACME) »Principes de base : contraintes de nom (Name Constraints)
Les restrictions de noms font partie de la norme X.509 et sont définies dans le RFC 5280 ont été décrits. Ils constituent un outil qui peut être utilisé dans le cadre subordination qualifiée peut être utilisé pour contrôler finement la portée d'un certificat d'autorité de certification.
Continuer la lecture de « Grundlagen: Namenseinschränkungen (Name Constraints) »Il est temps de migrer les composants PKI de Windows Server 2012 vers un nouveau système d'exploitation
En ce début d'année, une remarque s'adresse à tous les exploitants d'une autorité de certification Microsoft et de services affiliés :
Le site Ende der Produktunterstützung von Microsoft für Windows Server 2012 und 2012 R2 se rapproche lentement, c'est le 10 octobre 2023.
Il est donc temps de préparer le passage à un nouveau système d'exploitation.
Continuer la lecture de « Es wird Zeit: Migrieren der PKI Komponenten von Windows Server 2012 auf ein neues Betriebssystem »La demande de certificats avec des clés basées sur des courbes elliptiques échoue lors de l'utilisation du Microsoft Platform Crypto Provider
Supposons le scénario suivant :
- Un modèle de certificat est configuré, sur courbes elliptiques d'utiliser des clés basées sur la technologie
- Le modèle de certificat est en outre configuré pour utiliser le Microsoft Platform Crypto Provider d'utiliser la clé privée avec le Module de plate-forme de confiance (TPM) de l'appareil.
- La demande de certificat échoue avec le message d'erreur suivant :
Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)
Sur Windows Server 2016, le message d'erreur "No provider was specified for the store or object. 0x80092006 (-2146885626 CRYPT_E_NO_PROVIDER)" est affiché alors que le comportement est sinon identique.
Continuer la lecture de « Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird »Principes de base : les courbes elliptiques en vue de leur utilisation dans l'infrastructure à clé publique
Avec Windows Vista et Windows Server 2008, la Cryptography API : Next Generation (CNG) a été introduite dans les systèmes Windows.
Ce terme désigne un ensemble de fonctions cryptographiques modernes. Entre autres, le CNG permet l'utilisation de certificats utilisant des clés basées sur des courbes elliptiques (également appelées Elliptic Curve Cryptography, ECC) avec l'autorité de certification Microsoft et le système d'exploitation Windows.
Continuer la lecture de « Grundlagen: Elliptische Kurven in Hinsicht auf ihre Verwendung in der Public Key Infrastruktur »Microsoft Outlook : les messages électroniques signés sont rejetés par le serveur de messagerie destinataire avec le message d'erreur "Invalid S/MIME encrypted message".
Supposons le scénario suivant :
- Un utilisateur envoie un message électronique signé avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
- L'expéditeur utilise Microsoft Outlook pour Macintosh.
- Le serveur de messagerie destinataire rejette le message et renvoie un rapport de non-livraison (NDR) :
550 5.6.0 M2MCVT.StorageError.Exception: ConversionFailedException - , Content conversion: Invalid S/MIME encrypted message.; storage error in content conversion.Continuer la lecture de « Microsoft Outlook: Signierte E-Mail Nachrichten werden vom empfangenden Mailserver abgelehnt mit Fehlermeldung „Invalid S/MIME encrypted message.“ »
Que se passe-t-il si un utilisateur a demandé plusieurs certificats ?
J'ai récemment été confronté au phénomène suivant : en raison d'une logique de demande défectueuse, plusieurs utilisateurs avaient demandé de nouveaux certificats à intervalles réguliers.
Die Zertifikatvorlage war konfiguriert, eingehende Zertifikatanforderungen durch einen Zertifikatmanager freigeben zu lassen, d.h. es erfolgte keine automatische Ausstellung der Zertifikate. Die Zertifikatanforderungen sollten durch einen eigenen Code überprüft und anschließend freigegeben werden.
On pourrait s'attendre à ce que (puisque toutes les demandes de certificats sont finalement acceptées) les utilisateurs trouvent plusieurs certificats du même type dans leur liste de certificats (et dans les applications qui les utilisent). Or, ce n'est pas le cas.
Continuer la lecture de « Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat? »La génération d'un modèle de certificat n'est pas possible. Message d'erreur "The following template name has already been used" (Le nom de modèle suivant a déjà été utilisé)
Supposons le scénario suivant :
- Un nouveau modèle de certificat doit être créé.
- La création échoue avec le message d'erreur suivant :
The following template name has already been used: ADCSLaborBenutzerTest. Enter a unique template name.Continuer la lecture de « Die Erzeugung einer Zertifikatvorlage ist nicht möglich. Fehlermeldung „The following template name has already been used“ »
Exploitation de l'autorité de certification sans module de sortie
Lorsqu'une autorité de certification est installée, le module de sortie "Windows Default" est automatiquement activé. Celui-ci permet d'envoyer des messages électroniques lors de certains événements de l'autorité de certification. La plupart des entreprises n'utilisent cependant pas du tout cette fonction.
Aber auch wenn das Exit Modul überhaupt nicht verwendet wird, verursacht es Sitzungen auf der Zertifizierungsstellen-Datenbank (siehe Événement n° 46). Sur les autorités de certification à forte charge cela peut être problématique.
Si les fonctions qu'il offre ne sont pas du tout utilisées (unter Windows Server Core funktioniert das „Windows Default“ Exit Modul grundsätzlich nicht), il peut aussi être complètement désactivé.
Continuer la lecture de « Betreiben der Zertifizierungsstelle ohne Exit Modul »Recherche des causes : l'outil Snipping et d'autres composants de Windows 11 ne sont plus utilisables en raison de l'expiration du certificat
Aujourd'hui est allé sur par beaucoup de Médiasque certaines applications et certains composants du tout récent Windows 11 ne fonctionnent plus depuis le 01.11.2021 et que la cause en est un certificat qui a expiré le 31.10.2021. Entre-temps, Microsoft a dans un billet de blog et aussi un correctif pour certains composants concernés publié.
Leider gab es aber in keiner der verfügbaren Quellen detaillierte Informationen darüber, was genau das Problem war. Gehen wir der Sache somit selbst auf den Grund.
Continuer la lecture de « Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar »Le schéma de la base de données des organismes de certification
Si l'on souhaite Consultation de la base de données des autorités de certification il faut d'abord savoir ce que l'on veut chercher.
Il est possible d'éditer le schéma de la base de données de l'autorité de certification.
Continuer la lecture de « Das Datenbankschema der Zertifizierungsstellen-Datenbank »Limites des services de certificats Microsoft Active Directory
Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory basierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.
On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.
Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.
Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »
Français 
Deutsch 
English