Activer l'authentification de base pour le service d'enregistrement des périphériques réseau (NDES)

Si le service d'enregistrement des périphériques réseau (NDES) est réinstallé (De préférence sans droits d'administrateur d'entreprise), seule l'authentification intégrée à Windows est activée dans un premier temps pour la page web d'administration. Avec ce protocole, une authentification par nom d'utilisateur et mot de passe est également possible (via NT LAN Manager, NTLM). Toutes les applications clientes ne supportent toutefois pas cette fonctionnalité.

De même, une entreprise pourrait vouloir désactiver NTLM lorsque c'est possible et forcer Kerberos pour la connexion. Le fait de rendre Kerberos obligatoire supprime la possibilité de se connecter à la page d'administration du service d'enregistrement des périphériques réseau à l'aide d'un nom d'utilisateur et d'un mot de passe (puisque cela se fait avec des données d'identification NTLM). Il est toutefois possible de mettre à jour l'authentification de base afin d'offrir à nouveau cette possibilité.

Une solution à ce dilemme peut être l'authentification de base, dont la mise en place est expliquée ci-après.

Continuer la lecture de « Aktivieren der Basic Authentication für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Désactiver NTLM et forcer Kerberos sur la page web d'administration du service d'enregistrement des périphériques réseau (NDES)

De nombreuses entreprises ont pour stratégie de désactiver (autant que possible) le protocole d'authentification NT LAN Manager (NTLM) dans leurs réseaux.

Cela est également possible pour la page web d'administration du service d'enregistrement des périphériques réseau (NDES). La mise en œuvre exacte et les modifications éventuelles du comportement des applications sont expliquées ci-dessous.

Continuer la lecture de « Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Sélection de l'identité pour le pool d'applications IIS du service d'enregistrement des périphériques réseau (NDES)

Lors de l'installation d'un service d'enregistrement de périphériques réseau (NDES), la question se pose de savoir sous quelle identité le pool d'applications IIS doit être exploité. Les différentes options sont présentées ci-dessous afin de faciliter le choix.

Continuer la lecture de « Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Sur l'option "Build this from Active Directory information" pour les modèles de certificats

Lors de la configuration d'un modèle de certificat, il faut décider du contenu prévu du certificat, c'est-à-dire, entre autres, quelles identités seront confirmées par les certificats et comment ceux-ci seront représentés.

L'onglet "Subject Name" de la boîte de dialogue de configuration des modèles de certificats permet de configurer la manière dont l'identité confirmée par le certificat est représentée.

Continuer la lecture de « Zur Option „Build this from Active Directory information“ bei Zertifikatvorlagen »

La vérification des certificats du contrôleur de domaine renvoie le code d'erreur ERROR_ACCESS_DENIED

Supposons le scénario suivant :

  • certutil permet de vérifier les certificats des contrôleurs de domaine.
  • L'opération échoue avec le message d'erreur suivant :
0: DC01

*** Testing DC[0]: DC01
Enterprise Root store: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
KDC certificates: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)

CertUtil: -DCInfo command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
CertUtil: Access is denied.
Continuer la lecture de « Die Überprüfung der Domänencontroller-Zertifikate wirft den Fehlercode ERROR_ACCESS_DENIED »

Principes de base : Automatic Certificate Management Environment (ACME)

Le protocole ACME a été développé par les opérateurs du projet Let's Encrypt conçu pour faciliter l'exposition de Certificats de serveur web d'automatiser le processus. Il est spécifié dans RFC 8555.

L'objectif est de faciliter le processus de preuve de la possession de la ressource DNS (les adresses IP ne peuvent pas être identifiées pour l'instant, mais cela est prévu pour l'avenir), mais aussi d'améliorer la sécurité des données. pas de la personne ou de l'organisation qui se trouve derrière, afin de pouvoir ensuite obtenir un certificat de serveur web sans interaction humaine.

Continuer la lecture de « Grundlagen: Automatic Certificate Management Environment (ACME) »

Principes de base : contraintes de nom (Name Constraints)

Les restrictions de noms font partie de la norme X.509 et sont définies dans le RFC 5280 ont été décrits. Ils constituent un outil qui peut être utilisé dans le cadre subordination qualifiée peut être utilisé pour contrôler finement la portée d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Namenseinschränkungen (Name Constraints) »

Il est temps de migrer les composants PKI de Windows Server 2012 vers un nouveau système d'exploitation

En ce début d'année, une remarque s'adresse à tous les exploitants d'une autorité de certification Microsoft et de services affiliés :

Le site Fin du support produit Microsoft pour Windows Server 2012 et 2012 R2 se rapproche lentement, c'est le 10 octobre 2023.

Il est donc temps de préparer le passage à un nouveau système d'exploitation.

Continuer la lecture de « Es wird Zeit: Migrieren der PKI Komponenten von Windows Server 2012 auf ein neues Betriebssystem »

La demande de certificats avec des clés basées sur des courbes elliptiques échoue lors de l'utilisation du Microsoft Platform Crypto Provider

Supposons le scénario suivant :

Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)

Sur Windows Server 2016, le message d'erreur "No provider was specified for the store or object. 0x80092006 (-2146885626 CRYPT_E_NO_PROVIDER)" est affiché alors que le comportement est sinon identique.

Continuer la lecture de « Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird »

Principes de base : les courbes elliptiques en vue de leur utilisation dans l'infrastructure à clé publique

Avec Windows Vista et Windows Server 2008, la Cryptography API : Next Generation (CNG) a été introduite dans les systèmes Windows.

Ce terme désigne un ensemble de fonctions cryptographiques modernes. Entre autres, le CNG permet l'utilisation de certificats utilisant des clés basées sur des courbes elliptiques (également appelées Elliptic Curve Cryptography, ECC) avec l'autorité de certification Microsoft et le système d'exploitation Windows.

Continuer la lecture de « Grundlagen: Elliptische Kurven in Hinsicht auf ihre Verwendung in der Public Key Infrastruktur »

Microsoft Outlook : les messages électroniques signés sont rejetés par le serveur de messagerie destinataire avec le message d'erreur "Invalid S/MIME encrypted message".

Supposons le scénario suivant :

  • Un utilisateur envoie un message électronique signé avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • L'expéditeur utilise Microsoft Outlook pour Macintosh.
  • Le serveur de messagerie destinataire rejette le message et renvoie un rapport de non-livraison (NDR) :
550 5.6.0 M2MCVT.StorageError.Exception: ConversionFailedException - , Content conversion: Invalid S/MIME encrypted message.; storage error in content conversion.
Continuer la lecture de « Microsoft Outlook: Signierte E-Mail Nachrichten werden vom empfangenden Mailserver abgelehnt mit Fehlermeldung „Invalid S/MIME encrypted message.“ »

Que se passe-t-il si un utilisateur a demandé plusieurs certificats ?

J'ai récemment été confronté au phénomène suivant : en raison d'une logique de demande défectueuse, plusieurs utilisateurs avaient demandé de nouveaux certificats à intervalles réguliers.

Le modèle de certificat était configuré pour que les demandes de certificat entrantes soient approuvées par un gestionnaire de certificats, c'est-à-dire qu'il n'y avait pas de délivrance automatique des certificats. Les demandes de certificat devaient être vérifiées à l'aide d'un code spécifique, puis approuvées.

On pourrait s'attendre à ce que (puisque toutes les demandes de certificats sont finalement acceptées) les utilisateurs trouvent plusieurs certificats du même type dans leur liste de certificats (et dans les applications qui les utilisent). Or, ce n'est pas le cas.

Continuer la lecture de « Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat? »

La génération d'un modèle de certificat n'est pas possible. Message d'erreur "The following template name has already been used" (Le nom de modèle suivant a déjà été utilisé)

Supposons le scénario suivant :

  • Un nouveau modèle de certificat doit être créé.
  • La création échoue avec le message d'erreur suivant :
The following template name has already been used: ADCSLaborBenutzerTest. Enter a unique template name.
Continuer la lecture de « Die Erzeugung einer Zertifikatvorlage ist nicht möglich. Fehlermeldung „The following template name has already been used“ »

Exploitation de l'autorité de certification sans module de sortie

Lorsqu'une autorité de certification est installée, le module de sortie "Windows Default" est automatiquement activé. Celui-ci permet d'envoyer des messages électroniques lors de certains événements de l'autorité de certification. La plupart des entreprises n'utilisent cependant pas du tout cette fonction.

Mais même si le module Exit n'est pas utilisé du tout, il génère des sessions dans la base de données de l'autorité de certification (voir Événement n° 46). Sur les autorités de certification à forte charge cela peut être problématique.

Si les fonctions qu'il offre ne sont pas du tout utilisées (Sous Windows Server Core, le module de sortie „ Windows Default “ ne fonctionne en principe pas.), il peut aussi être complètement désactivé.

Continuer la lecture de « Betreiben der Zertifizierungsstelle ohne Exit Modul »
fr_FRFrançais