Présentation des événements Windows générés par le service Web d'enregistrement des certificats (CES)

Vous trouverez ci-dessous un aperçu des événements générés par le service Web d'enregistrement des certificats (CES) dans l'observateur d'événements Windows.

Les événements du service Web d'enregistrement des certificats ne sont pas officiellement documentés. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).

Continuer la lecture de « Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) generierten Windows-Ereignisse »

Présentation des événements Windows générés par le service d'enregistrement des périphériques réseau (NDES)

Vous trouverez ci-dessous un aperçu des événements générés par le service d'enregistrement des périphériques réseau (NDES) dans l'observateur d'événements Windows.

Les événements du service d'enregistrement des périphériques réseau ne sont pas officiellement documentés. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).

Continuer la lecture de « Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse »

Aperçu des événements Windows générés par le répondeur en ligne (OCSP)

Vous trouverez ci-dessous un aperçu des événements générés par le répondeur en ligne (OCSP) dans l'observateur d'événements Windows.

Les événements du répondeur en ligne ne sont pas documentés officiellement. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).

Continuer la lecture de « Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse »

Combinaison d'un répondeur en ligne (OCSP) avec Delta CRL et un point de distribution de listes de révocation (CDP) sans liste de révocation Delta pour une résilience accrue

Les réponses OCSP d'un répondeur OCSP Microsoft sont valables aussi longtemps que la liste de révocation sous-jacente. Dans certains cas, il peut être souhaitable de réduire la durée de validité des OCSP en utilisant des CRL delta. Dans le même temps, aucune CRL delta ne doit être utilisée pour les listes de révocation enregistrées dans les chemins CDP afin de permettre un repli vers une CRL valable plus longtemps.

Continuer la lecture de « Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz »

Impact de la défaillance du répondeur en ligne (OCSP) sur la vérification du statut de révocation d'un certificat

Nous allons maintenant examiner comment se comporte la vérification du statut de blocage en cas de défaillance du répondeur en ligne. Selon la configuration des certificats délivrés, le comportement peut varier considérablement.

Continuer la lecture de « Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats »

Comment est formé le numéro de série d'un certificat ?

Vous trouverez ci-dessous une explication sur la manière dont sont générés les numéros de série des certificats délivrés et sur la manière dont le comportement des autorités de certification peut être adapté.

Continuer la lecture de « Wie wird die Seriennummer eines Zertifikats gebildet? »

Effectuer un test de fonctionnement pour le service d'enregistrement des périphériques réseau (NDES)

Après l'installation d'un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias

Les étapes suivantes décrivent comment configurer le service d'inscription des périphériques réseau (NDES) pour une utilisation avec un alias.

Le terme « alias » signifie que le service n'est pas appelé avec le nom du serveur sur lequel il est installé, mais avec un nom générique indépendant de celui-ci. L'utilisation d'un alias permet de transférer le service vers un autre système à une date ultérieure sans avoir à communiquer la nouvelle adresse à tous les participants.

Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »

Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)

Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).

Protocole réseauPort de destinationProtocole
TCP135Mappeur de points d'accès RPC
TCP49152-65535Ports dynamiques RPC

Cette configuration n'est pas réalisable dans tous les environnements d'entreprise. Souvent, il existe des règles de pare-feu restrictives qui n'autorisent pas l'utilisation de ports réseau dynamiques.

Dans un tel cas, l'autorité de certification doit être configurée sur un port statique.

Continuer la lecture de « Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt) »

Interrogation des points de terminaison RPC configurés d'une autorité de certification

Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).

Il est toutefois également possible de configurer l'autorité de certification sur un port statique (voir l'article „Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)„ ).

La procédure suivante décrit comment vérifier la configuration actuelle de l'autorité de certification.

Continuer la lecture de « Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle »

Classification des composants ADCS dans le modèle hiérarchique administratif (Administrative Tiering Model)

Si, outre les services de certificats Active Directory, on implémente également le modèle de stratification administrative (Administrative Tiering Model) pour le service d'annuaire Active Directory, la question se pose alors de l'affectation des différents composants PKI dans ce modèle afin de pouvoir procéder à un renforcement ciblé de la sécurité.

Continuer la lecture de « Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) »

Attribuer manuellement un certificat Remote Desktop (RDP)

Si un Certificat Remote Desktop demandé manuellement, il doit ensuite être attribué à l'hôte de session Bureau à distance.

Continuer la lecture de « Manuelles Zuweisen eines Remotedesktop (RDP) Zertifikats »

Demande manuelle d'un certificat Remote Desktop (RDP)

Il existe des cas où il n'est pas possible ou souhaitable d'obtenir des certificats de bureau à distance auprès d'une autorité de certification dans sa propre structure Active Directory, par exemple lorsque le système concerné n'est pas membre du domaine.

Dans ce cas, l'utilisation de modèles de certificat n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats »

La création d'une demande manuelle de certificat échoue avec le message d'erreur "Expected INF file section name 0xe0000000".

Supposons le scénario suivant :

  • Un fichier d'informations est créé pour une demande de certificat manuelle.
  • La création de la demande de certificat à l'aide du fichier échoue avec le message d'erreur suivant :
Expected INF file section name 0xe0000000 (INF: -536870912)
Continuer la lecture de « Die Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung „Expected INF file section name 0xe0000000“ »

Envoyer une demande de certificat créée manuellement à une autorité de certification

Si une demande de certificat, par exemple après création manuelle, est disponible sous forme de fichier texte (généralement avec l'extension .CSR ou .REQ), celle-ci peut être envoyée à l'autorité de certification à l'aide des outils intégrés.

Continuer la lecture de « Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden »
fr_FRFrançais