Author: Uwe Gradenegger

L'attribution manuelle d'un certificat Remote Desktop échoue avec le message d'erreur "Invalid parameter".

Supposons le scénario suivant :

Set-WMIInstance : Invalid parameter
 At line:1 char:1
 Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
 ~~~~~~~~~~~~~~~~~ CategoryInfo          : InvalidOperation: (:) [Set-WmiInstance], ManagementException
 FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance
Continuer la lecture de « Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung „Invalid parameter“ »

Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.

Supposons le scénario suivant :

Continuer la lecture de « Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar »

L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une nouvelle autorité de certification est installée.
  • Après la configuration du rôle d'autorité de certification et l'émission du certificat d'autorité de certification, celui-ci doit maintenant être installé sur l'autorité de certification.
  • Un module de sécurité matériel (HSM) est utilisé pour protéger la clé privée du certificat de l'autorité de certification.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate public key does not match the current outstanding request.
The wrong request may have been used to generate the new certificate:  Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »

La reconnexion à la clé privée échoue avec le message d'erreur "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

Cannot find the certificate and private key for decryption.
CertUtil: -repairstore command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
CertUtil: Cannot find object or property.
Continuer la lecture de « Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

L'installation des modèles de certificats par défaut échoue avec le message d'erreur "This security ID may not be assigned as the owner of this object".

Supposons le scénario suivant :

  • Une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority) doit être installée pour la première fois dans le réseau.
  • Pour des raisons de sécurité, les droits d'installation de l'autorité de certification ont été délégués à un groupe de sécurité ou à un compte séparé, de sorte qu'il n'est pas nécessaire de se connecter en tant qu'administrateur d'entreprise. Formulé dans l'autre sens : L'utilisateur utilisé n'est pas membre du groupe "Enterprise Administrators" dans la structure globale d'Active Directory.
  • Comme il s'agit de la première autorité de certification dans le réseau, il n'y a pas encore d'autorité de certification. Modèles de certificats standard est installé dans l'Active Directory. En ouvrant la console de gestion des modèles de certificats (certtmpl.msc), on est invité à les installer.
  • L'installation échoue avec le message d'erreur suivant :
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.
Continuer la lecture de « Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung „This security ID may not be assigned as the owner of this object.“ »

Les signatures de code des paquets Appx via SignTool.exe échouent avec le code d'erreur 0x8007000b (ERROR_BAD_FORMAT)

Supposons le scénario suivant :

  • Un paquet Appx doit être signé.
  • Pour cela, la SignTool.exe est utilisé.
  • Le certificat de signature de code utilisé a été récemment renouvelé.
  • Le processus de signature avec le nouveau certificat de signature de code échoue avec le message d'erreur suivant :
"Error: SignerSign() failed." (-2147024885/0x8007000b)
Continuer la lecture de « Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT) »

Délivrer des certificats avec une durée de validité raccourcie

Il est parfois nécessaire d'émettre des certificats avec une durée de validité plus courte que celle configurée dans le modèle de certificat. C'est peut-être pour cela que l'on ne souhaite pas reconfigurer immédiatement le modèle de certificat ou créer un autre modèle de certificat.

Continuer la lecture de « Zertifikate mit verkürzter Gültigkeitsdauer ausstellen »

Les certificats d'autorité racine sont importés dans la liste de certificats d'autorité de certification intermédiaire des membres du domaine.

Certains auront sans doute remarqué que la liste de certificats pour les autorités de certification intermédiaires contient généralement aussi des certificats pour les autorités de certification racines.

En règle générale, ce comportement n'est pas critique. Dans certains cas cela peut toutefois entraîner des problèmes avec les applications.

Continuer la lecture de « Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert »

Principes de base : l'extension du certificat Key Usage

Les extensions de certificat ont été introduites avec la version 3 de la norme X.509. L'extension Key Usage est une extension de certificat optionnelle qui peut être utilisée dans le RFC 5280 et sert à limiter les utilisations autorisées d'une clé.

Continuer la lecture de « Grundlagen: Die Key Usage Zertifikaterweiterung »

Établir une correspondance entre un certificat d'utilisateur et l'ordinateur correspondant

Supposons le scénario suivant :

  • L'ordinateur d'un utilisateur est détourné ou infecté par un logiciel malveillant.
  • L'intégrité des certificats se trouvant sur l'ordinateur ne peut plus être garantie.
  • Les certificats de l'utilisateur/de l'utilisatrice qui ont été demandés sur cet ordinateur doivent être révoqués.
  • On souhaite toutefois éviter de révoquer tous les certificats d'un utilisateur.
  • Il faut donc établir un lien entre les certificats de l'utilisateur et l'ordinateur sur lequel ils ont été demandés.

Si les certificats ont été envoyés par Autoenrollment nous pouvons tirer parti du fait qu'un attribut correspondant faisait partie de la demande de certificat initiale et que la demande de certificat est stockée avec le certificat dans la base de données de l'autorité de certification.

Continuer la lecture de « Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen »

Pas de connexion possible par bureau à distance depuis l'extérieur de la structure globale d'Active Directory

Supposons le scénario suivant :

  • On souhaite établir une connexion de bureau à distance.
  • L'ordinateur client à partir duquel la connexion est établie n'est pas membre de la même structure globale Active Directory que l'ordinateur cible.
  • La connexion échoue avec le message d'erreur suivant :
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
Continuer la lecture de « Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich »

La connexion à la page web d'administration pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur HTTP 401 "Unauthorized : Access is denied due to invalid credentials".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • En cas d'appel de la page web d'administration NDES (certsrv/mscep_admin) n'est pas possible.
  • Après plusieurs tentatives de connexion infructueuses, le message d'erreur HTTP suivant est renvoyé :
401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 „Unauthorized: Access is denied due to invalid credentials.“ »

Échange électronique de données avec la Deutsche Rentenversicherung (assurance pension allemande)

Récemment, j'ai travaillé avec la B-I-T GmbH Informations et processus de Hanovre a travaillé à la réalisation de l'échange électronique de données avec les caisses d'assurance maladie légales et l'assurance pension à partir d'une seule application.

Dans ce cas, on utilise une combinaison de transmission de données authentifiées de messages à la fois signés et cryptés. Dans tous ces cas, les technologies PKI sont utilisées.

Le format de message utilisé est ici documenté.

Continuer la lecture de « Elektronischer Datenaustausch mit der Deutschen Rentenversicherung »

Récupération des certificats à partir des données du module de sortie SMTP

Restaurer une autorité de certification après une catastrophe à partir d'une sauvegarde (backup)Si l'on se réfère à l'article 6 de la loi sur la protection des données, il est probable que l'on constate que des certificats ont été émis entre la dernière sauvegarde et la panne du système, avec la perte de données qui s'ensuit.

Ces certificats ne sont pas enregistrés dans la base de données de l'autorité de certification restaurée et ne peuvent donc pas être restaurés en cas de besoin.

Si l'on utilise le module SMTP Exit, on peut au moins déterminer les numéros de série des certificats à partir des e-mails envoyés et les révoquer.

Continuer la lecture de « Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls »

Aperçu des événements de l'hôte de session de bureau à distance pertinents pour l'ICP

Voici un aperçu des événements générés par l'hôte de session de bureau à distance dans l'Observateur d'événements de Windows qui sont pertinents pour l'infrastructure de clés publiques.

Continuer la lecture de « Übersicht über die für die PKI relevanten Ereignisse des Remotedesktop-Sitzungshosts »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais