La demande d'un certificat via le service Web d'inscription de certificats (CES) échoue avec le code d'erreur „ WS_E_ENDPOINT_FAULT_RECEIVED “.“

Supposons le scénario suivant :

  • Un Certificate Enrollment Web Service (CES) est mis en œuvre sur le réseau.
  • Une demande de certificat est envoyée au CES.
  • La demande de certificat échoue avec le message d'erreur suivant :
A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“ »

Chrome et Safari limitent les certificats SSL à un an de validité

Apple a récemment annoncé que le navigateur Safari n'acceptera désormais plus que les certificats d'une durée de validité de 398 jours, à condition qu'ils aient été émis à partir du 1er septembre 2020.

Mozilla et Google souhaitent implémenter un comportement similaire dans leurs navigateurs. La question se pose donc de savoir si cette modification aura des répercussions sur les autorités de certification internes, c'est-à-dire si, à l'avenir, les certificats SSL internes devront également respecter ces règles, comme c'est le cas par exemple pour l'application du RFC 2818 comme cela a été le cas avec Google.

Continuer la lecture de « Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit »

Bibliographie et autres ressources sur les infrastructures à clé publique et les services de certificats Active Directory

Vous trouverez ci-dessous un aperçu de la littérature disponible sur le marché concernant les infrastructures à clés publiques et les services de certificats Active Directory, ainsi que des ressources en ligne de Microsoft et d'autres spécialistes PKI.

Continuer la lecture de « Literatur und weitere Ressourcen über Public Key Infrastrukturen und Active Directory Certificate Services »

Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services

Lors de la configuration des paramètres d'audit d'une autorité de certification, on est tenté de sélectionner l'option „ Démarrer et arrêter les services de certificats Active Directory “. Cette option peut toutefois poser des problèmes dans certaines circonstances.

Continuer la lecture de « Performanceprobleme bei Auditierung von „Start and stop Active Directory Certificate Services“ »

Plus qu'un nom commun (Common Name, CN) dans le certificat

De nos jours, cela relève davantage de la curiosité que de la pratique, mais il arrive parfois que l'on reçoive des demandes de certificats contenant plus d'un nom commun (Common Name) dans l'objet (Subject). Même si cela peut paraître étonnant, cela est tout à fait possible et conforme à la norme RFC.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Le module SMTP Exit ne fonctionne pas sur Windows Server Core

Supposons le scénario suivant :

  • Un service de certification est installé sur Windows Server Core.
  • Le SMTP fourni avec l'autorité de certification est utilisé. Module de sortie configuré.
  • Cependant, l'organisme de certification n'envoie pas d'e-mails.
  • Dans le journal des événements, le Événement n° 46 avec le message d'erreur suivant :
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
Continuer la lecture de « Das SMTP Exit Modul funktioniert nicht auf Windows Server Core »

Autoriser la demande d'une clé de signature spécifique auprès d'une autorité de certification

L'autorité de certification Microsoft signe toujours les certificats avec la clé associée au certificat d'autorité de certification le plus récent. Le certificat de signature pour une réponse OCSP doit être conforme à RFC 6960 mais être signés par la même clé que le certificat à vérifier :

L'autorité de certification DEVRAIT utiliser la même clé d'émission pour émettre un certificat de délégation que celle utilisée pour signer le certificat dont la révocation est vérifiée.

https://tools.ietf.org/html/rfc6960#section-4.2.2.2

Si le certificat de l'autorité de certification est renouvelé et qu'une nouvelle paire de clés est utilisée, il est toutefois nécessaire que le répondeur en ligne conserve les certificats de signature valides pour les certificats délivrés avec le certificat précédent de l'autorité de certification, car ceux-ci restent valides et doivent être vérifiés pour voir s'ils ont été bloqués.

Continuer la lecture de « Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben »

La demande de certificat échoue avec le message d'erreur „ Le système ne trouve pas le fichier spécifié. 0x80070002 (WIN32 : 2 ERROR_FILE_NOT_FOUND) “.“

Supposons le scénario suivant :

  • Une demande de certificat est envoyée à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Error Parsing Request The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“ »

La demande de certificat échoue avec le message d'erreur „ Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). “

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Denied by Policy Module.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »

Matrice de migration Windows Server pour l'autorité de certification

Au plus tard lorsque le Fin du support du produit par le fabricant (Microsoft) approche, la question se pose de savoir comment et vers quel système d'exploitation une autorité de certification doit migrer.

Continuer la lecture de « Windows Server Migrations-Matrix für die Zertifizierungsstelle »

Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur

Souvent, une autorité de certification a une durée de vie nettement plus longue que le serveur sur lequel elle a été installée. Les raisons pouvant justifier la migration de l'autorité de certification vers un nouveau serveur, c'est-à-dire en conservant les données, peuvent être les suivantes :

  • Défaut ou fin de vie du matériel serveur
  • Fin de vie du système d'exploitation du serveur
  • Modification du nom du serveur

La procédure de migration est décrite en détail ci-dessous.

Continuer la lecture de « Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server »

Fin du support du produit par le fabricant (Microsoft)

Chaque système d'exploitation Windows Server a une date de fin définie à partir de laquelle le fabricant ne fournit plus d'assistance pour le produit. Les autorités de certification sont également liées à cette date et doivent donc être migrées avant cette date.

Continuer la lecture de « Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) »

Principes fondamentaux et analyse des risques Paramètres de délégation

La délégation est toujours nécessaire lorsqu'il existe un intermédiaire entre l'utilisateur et le service proprement dit. Dans le cas de l'enregistrement Web de l'autorité de certification, ce serait le cas si celui-ci était installé sur un serveur distinct. Il servirait alors d'intermédiaire entre le demandeur et l'autorité de certification.

Continuer la lecture de « Grundlagen und Risikobetrachtung Delegierungseinstellungen »

Effectuer un test fonctionnel pour le Certificate Enrollment Policy Web Service (CEP)

Après l'installation d'un serveur de stratégie d'enregistrement de certificats (Certificate Enrollment Policy Web Service, CEP) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP) »

Le service d'autorité de certification ne démarre pas et renvoie le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »
fr_FRFrançais