Recherche des causes : l'outil Snipping et d'autres composants de Windows 11 ne sont plus utilisables en raison de l'expiration du certificat

Aujourd'hui est allé sur par beaucoup de Médiasque certaines applications et certains composants du tout récent Windows 11 ne fonctionnent plus depuis le 01.11.2021 et que la cause en est un certificat qui a expiré le 31.10.2021. Entre-temps, Microsoft a dans un billet de blog et aussi un correctif pour certains composants concernés publié.

Malheureusement, aucune des sources disponibles ne fournissait d'informations détaillées sur la nature exacte du problème. Examinons donc la question de plus près.

Continuer la lecture de « Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar »

Le schéma de la base de données des organismes de certification

Si l'on souhaite Consultation de la base de données des autorités de certification il faut d'abord savoir ce que l'on veut chercher.

Il est possible d'éditer le schéma de la base de données de l'autorité de certification.

Continuer la lecture de « Das Datenbankschema der Zertifizierungsstellen-Datenbank »

Limites des services de certificats Microsoft Active Directory

Les services de certificats Active Directory existent (même si sous un autre nom) dans leurs grandes lignes depuis Windows NT 4.0. L'architecture basée sur Active Directory utilisée aujourd'hui a été introduite avec Windows 2000 Server. Les AD CS sont très bien intégrés dans l'écosystème Windows et continuent de jouir d'une grande popularité dans le monde entier auprès des entreprises et des administrations de toutes tailles.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

L'attribution manuelle d'un certificat Remote Desktop échoue avec le message d'erreur "Invalid parameter".

Supposons le scénario suivant :

Set-WMIInstance : Invalid parameter
 At line:1 char:1
 Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
 ~~~~~~~~~~~~~~~~~ CategoryInfo          : InvalidOperation: (:) [Set-WmiInstance], ManagementException
 FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance 
Continuer la lecture de « Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung „Invalid parameter“ »

Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.

Supposons le scénario suivant :

Continuer la lecture de « Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar »

L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une nouvelle autorité de certification est installée.
  • Après la configuration du rôle d'autorité de certification et l'émission du certificat d'autorité de certification, celui-ci doit maintenant être installé sur l'autorité de certification.
  • Un module de sécurité matériel (HSM) est utilisé pour protéger la clé privée du certificat de l'autorité de certification.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate public key does not match the current outstanding request.
The wrong request may have been used to generate the new certificate:  Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »

La reconnexion à la clé privée échoue avec le message d'erreur "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

Cannot find the certificate and private key for decryption.
CertUtil: -repairstore command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
CertUtil: Cannot find object or property.
Continuer la lecture de « Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

L'installation des modèles de certificats par défaut échoue avec le message d'erreur "This security ID may not be assigned as the owner of this object".

Supposons le scénario suivant :

  • Une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority) doit être installée pour la première fois dans le réseau.
  • Pour des raisons de sécurité, les droits d'installation de l'autorité de certification ont été délégués à un groupe de sécurité ou à un compte séparé, de sorte qu'il n'est pas nécessaire de se connecter en tant qu'administrateur d'entreprise. Formulé dans l'autre sens : L'utilisateur utilisé n'est pas membre du groupe "Enterprise Administrators" dans la structure globale d'Active Directory.
  • Comme il s'agit de la première autorité de certification dans le réseau, il n'y a pas encore d'autorité de certification. Modèles de certificats standard est installé dans l'Active Directory. En ouvrant la console de gestion des modèles de certificats (certtmpl.msc), on est invité à les installer.
  • L'installation échoue avec le message d'erreur suivant :
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.
Continuer la lecture de « Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung „This security ID may not be assigned as the owner of this object.“ »

Les signatures de code des paquets Appx via SignTool.exe échouent avec le code d'erreur 0x8007000b (ERROR_BAD_FORMAT)

Supposons le scénario suivant :

  • Un paquet Appx doit être signé.
  • Pour cela, la SignTool.exe est utilisé.
  • Le certificat de signature de code utilisé a été récemment renouvelé.
  • Le processus de signature avec le nouveau certificat de signature de code échoue avec le message d'erreur suivant :
"Error: SignerSign() failed." (-2147024885/0x8007000b) 
Continuer la lecture de « Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT) »

Délivrer des certificats avec une durée de validité raccourcie

Il est parfois nécessaire d'émettre des certificats avec une durée de validité plus courte que celle configurée dans le modèle de certificat. C'est peut-être pour cela que l'on ne souhaite pas reconfigurer immédiatement le modèle de certificat ou créer un autre modèle de certificat.

Continuer la lecture de « Zertifikate mit verkürzter Gültigkeitsdauer ausstellen »

Les certificats d'autorité racine sont importés dans la liste de certificats d'autorité de certification intermédiaire des membres du domaine.

Certains auront sans doute remarqué que la liste de certificats pour les autorités de certification intermédiaires contient généralement aussi des certificats pour les autorités de certification racines.

En règle générale, ce comportement n'est pas critique. Dans certains cas cela peut toutefois entraîner des problèmes avec les applications.

Continuer la lecture de « Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert »

Principes de base : l'extension du certificat Key Usage

Les extensions de certificat ont été introduites avec la version 3 de la norme X.509. L'extension Key Usage est une extension de certificat optionnelle qui peut être utilisée dans le RFC 5280 et sert à limiter les utilisations autorisées d'une clé.

Continuer la lecture de « Grundlagen: Die Key Usage Zertifikaterweiterung »

Établir une correspondance entre un certificat d'utilisateur et l'ordinateur correspondant

Supposons le scénario suivant :

  • L'ordinateur d'un utilisateur est détourné ou infecté par un logiciel malveillant.
  • L'intégrité des certificats se trouvant sur l'ordinateur ne peut plus être garantie.
  • Les certificats de l'utilisateur/de l'utilisatrice qui ont été demandés sur cet ordinateur doivent être révoqués.
  • On souhaite toutefois éviter de révoquer tous les certificats d'un utilisateur.
  • Il faut donc établir un lien entre les certificats de l'utilisateur et l'ordinateur sur lequel ils ont été demandés.

Si les certificats ont été envoyés par Autoenrollment nous pouvons tirer parti du fait qu'un attribut correspondant faisait partie de la demande de certificat initiale et que la demande de certificat est stockée avec le certificat dans la base de données de l'autorité de certification.

Continuer la lecture de « Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen »

Pas de connexion possible par bureau à distance depuis l'extérieur de la structure globale d'Active Directory

Supposons le scénario suivant :

  • On souhaite établir une connexion de bureau à distance.
  • L'ordinateur client à partir duquel la connexion est établie n'est pas membre de la même structure globale Active Directory que l'ordinateur cible.
  • La connexion échoue avec le message d'erreur suivant :
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
Continuer la lecture de « Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich »

La connexion à la page web d'administration pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur HTTP 401 "Unauthorized : Access is denied due to invalid credentials".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • En cas d'appel de la page web d'administration NDES (certsrv/mscep_admin) n'est pas possible.
  • Après plusieurs tentatives de connexion infructueuses, le message d'erreur HTTP suivant est renvoyé :
401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 „Unauthorized: Access is denied due to invalid credentials.“ »
fr_FRFrançais