Il est parfois nécessaire de vérifier un certificat de signature d'un répondeur en ligne, par exemple lorsque la connexion au module de sécurité matériel (HSM) (s'il existe) doit être vérifiée. Lorsque les certificats sont récupérés automatiquement auprès d'une autorité de certification, le répondeur en ligne utilise son propre magasin de certificats.
Continuer la lecture de « Einsicht in den Zertifikatspeicher des Onlineresponders (OCSP) und Überprüfung der Signaturzertifikate »Auteur : Uwe Gradenegger
certutil -dcinfo échoue avec le message d'erreur "KDC certificates : Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"
Supposons le scénario suivant :
- Les contrôleurs de domaine disposent de certificats pour LDAP sur SSL.
- Les certificats ne comprennent pas l'utilisation de la clé étendue "Smart Card Logon" ni "Kerberos Authentication".
- Si l'on exécute certutil -dcinfo, la commande affiche le message d'erreur suivant :
0 KDC certificates for DC01Continuer la lecture de « certutil -dcinfo schlägt fehl mit Fehlermeldung „KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".
Supposons le scénario suivant :
- On crée une nouvelle liste de blocage sur l'autorité de certification.
- L'autorité de certification est configurée pour publier des listes de révocation dans un chemin réseau.
- La publication échoue avec le message d'erreur suivant :
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)Continuer la lecture de « Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung „Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »
La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "The directory name is invalid. 0x8007010b (WIN32/HTTP : 267 ERROR_DIRECTORY)"
Supposons le scénario suivant :
- On crée une nouvelle liste de blocage sur l'autorité de certification.
- La publication échoue avec le message d'erreur suivant :
The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)Continuer la lecture de « Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung „The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)“ »
La publication manuelle d'une liste de révocation de certificats (CRL) dans Active Directory échoue avec le message d'erreur 0x8007202b (WIN32 : 8235 ERROR_DS_REFERRAL)
Supposons le scénario suivant :
- Une autorité de certification racine hors ligne a été installée. Le serveur sur lequel l'autorité de certification est installée n'est pas un membre du domaine.
- Celle-ci est configurée pour les publications de listes de blocage dans Active Directory.
- Les listes de blocage sont téléchargées dans Active Directory à l'aide de certutil -dspublish.
- L'opération échoue avec le message d'erreur suivant :
certutil -dspublish "ADCS Labor Root CA.crl"Continuer la lecture de « Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL) »
ldap:///CN=ADCS Labor Root CA,CN=ADCS Labor Root CA,CN=cdp,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-03100835, data 0, 1 access points
ref 1: 'unavailableconfigdn'
CertUtil: -dsPublish command FAILED: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
CertUtil: A referral was returned from the server.
Demande manuelle de certificat de contrôleur de domaine
Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.
Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).
Utilisation de Microsoft Network Load Balancing (NLB) pour les points de distribution de la liste de blocage (CDP), l'accès aux informations sur les postes (AIA) et les répondeurs en ligne (OCSP)
C'est généralement une bonne idée de garantir à tout moment la disponibilité des points de distribution des listes de blocage (CRL Distribution Point, CDP), des informations sur les autorités (Authority Information Access, AIA) et, le cas échéant, des répondeurs en ligne (Online Responder, OCSP).
L'accès aux informations de révocation est même plus critique que l'accès à l'autorité de certification elle-même. Si le statut de révocation d'un certificat ne peut pas être vérifié, il se peut (selon l'application) que le certificat ne soit pas considéré comme fiable et que le service informatique correspondant ne puisse pas être utilisé.
Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP) »Combinaison du module SMTP Exit avec un serveur SMTP local pour une meilleure résilience
Supposons le scénario suivant :
- L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
- Le serveur SMTP configuré n'est pas toujours accessible de manière fiable, par exemple parce qu'il n'est pas conçu pour être hautement disponible.
- En cas de panne du serveur SMTP, l'autorité de certification ne fonctionnera que très lentement, car les notifications par e-mail ne pourront pas être délivrées. Dans certaines circonstances, le service de l'autorité de certification ne pourra plus démarrer.
Désactiver le module de sortie SMTP d'une autorité de certification
Supposons le scénario suivant :
- L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
- Le serveur SMTP configuré n'est pas accessible, par exemple en raison d'une panne.
Dans ce cas, le module de sortie ne peut pas délivrer les notifications par e-mail. Il se met en time-out et l'autorité de certification ne fonctionnera plus que très lentement.
Continuer la lecture de « Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle »Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures
Supposons le scénario suivant :
- Les répondeurs en ligne sont configurés pour demander des certificats de signature à partir d'un modèle de certificat d'une autorité de certification intégrée à Active Directory.
- Les répondeurs en ligne demandent un nouveau certificat de signature à intervalles réguliers (toutes les quatre heures), bien que le certificat existant soit encore valable suffisamment longtemps.
Transfert des listes de révocation de certificats vers les points de distribution de la liste de révocation à l'aide de SSH Secure Copy (SCP) avec authentification par clé publique (Windows Server 2019)
Si les serveurs qui fournissent les points de distribution des listes de blocage se trouvent par exemple dans une zone démilitarisée (DMZ) ou si, pour d'autres raisons, le transfert de données via Server Message Block (SMB) n'est pas possible, les listes de blocage peuvent être transférées sur les points de distribution à l'aide de SSH Secure Copy (SCP). Depuis Windows Server 2019, il existe les paquets serveur et client OpenSSH. L'installation avec authentification par clé publique (Public Key Authentication) au lieu de mots de passe est décrite ci-dessous à titre d'exemple
Continuer la lecture de « Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019) »Requêtes avancées par rapport à la base de données des autorités de certification
La base de données des autorités de certification stocke une grande partie des informations sur les activités d'une autorité de certification. Elle contient entre autres des informations sur
- Certificats délivrés
- Certificats révoqués
- Listes de blocage publiées
- Demandes de certificats en attente
- Demandes de certificats refusées
- Échec de la demande de certificat
La consultation du contenu de la base de données de l'autorité de certification se fait généralement via la console de gestion de l'autorité de certification (certsrv.msc), mais les possibilités d'évaluation et surtout de traitement automatique sont très limitées.
Continuer la lecture de « Erweiterte Abfragen gegen die Zertifizierungsstellen-Datenbank »La demande de certificat échoue avec le message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".
Le scénario suivant :
- Un utilisateur obtient un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
- Le certificat de l'autorité de certification est fiable, c'est-à-dire qu'il se trouve dans le magasin des autorités de certification racine de confiance (Trusted Root Certification Authorities).
- La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »
Autorisations de sécurité Windows requises pour le service d'enregistrement des périphériques réseau (NDES)
Supposons que l'on mette en œuvre le modèle de hiérarchisation administrative (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de durcissement comparables sur ses serveurs, cela aura des répercussions sur les composants NDES.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES) »La demande de certificat échoue avec le message d'erreur "The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).". Lors de l'importation de fichiers PFX, la clé privée est manquante.
Le scénario suivant :
- L'importation d'un fichier PFX semble réussie, mais la clé privée manque ensuite. Une vérification avec certutil se solde par un message d'erreur "Missing stored keyset".
- La demande d'un certificat sur un client échoue avec le message d'erreur suivant :
The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).“. Beim Import von PFX-Dateien fehlt der private Schlüssel. »