Author: Uwe Gradenegger

Principes de base : remplacement (superseding) des modèles de certificat

Avec l'introduction des modèles de certificats de la version 2 avec Windows XP et Windows Server 2003, une option a été ajoutée permettant à un modèle de certificat d'en remplacer un ou plusieurs autres.

Cela permet de remplacer les certificats émis par ceux d'un autre modèle de certificat ou de regrouper plusieurs modèles de certificats en un seul.

Continuer la lecture de « Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen »

Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Depuis Windows NT 4.0, CryptoAPI comprend les Cryptographic Service Provider (CSP).

Le but est qu'une application n'ait pas à se soucier de la mise en œuvre concrète de la gestion des clés, mais puisse laisser cette tâche à des interfaces génériques du système d'exploitation. Cela permet également d'éviter que les clés cryptographiques soient chargées dans la mémoire vive dans le contexte de sécurité de l'utilisateur/de l'application utilisée (un incident de sécurité grave, basé précisément sur ce problème, a été le Incident Heartbleed).

Par exemple, pour le logiciel de l'autorité de certification, la manière dont votre clé privée est protégée (dans un logiciel ou à l'aide d'un module de sécurité matériel (HSM), par exemple) n'a aucune importance sur le plan technique. L'appel de la clé privée est toujours identique pour l'autorité de certification.

Avec Windows Vista et l'introduction de Cryptography Next Generation (CNG) en remplacement de CryptoAPI, les fournisseurs de stockage de clés (KSP) ont été introduits.

Continuer la lecture de « Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP) »

La demande de certificats de bureau à distance échoue avec le message d'erreur „ Les autorisations sur le modèle de certificat ne permettent pas à l'utilisateur actuel de s'inscrire pour ce type de certificat. “

Supposons le scénario suivant :

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
Continuer la lecture de « Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung „The permissions on the certificate template do not allow the current user to enroll for this type of certificate.“ »

La demande de certificats de bureau à distance échoue avec le message d'erreur „ Le modèle de certificat demandé n'est pas pris en charge par cette autorité de certification. “

Supposons le scénario suivant :

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.
Continuer la lecture de « Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA.“ »

La liste locale des certificats des autorités de certification racines de confiance n'est pas synchronisée à partir d'Active Directory.

Supposons le scénario suivant :

  • Une hiérarchie d'autorités de certification est établie dans le réseau et l'autorité de certification racine est représentée dans la partition de configuration de la structure globale Active Directory.
  • Les membres du domaine sont configurés pour exécuter le processus d'auto-inscription et ainsi mettre à jour les autorités de certification racine de confiance à partir de la partition de configuration.
  • Cependant, ce processus ne fonctionne pas avec certains clients. Les certificats de l'autorité de certification racine ne sont pas téléchargés automatiquement et enregistrés dans le magasin de confiance local.
  • Conséquence les demandes de certificats peuvent échouer, par exemple parce que la hiérarchie des autorités de certification n'est pas fiable.
Continuer la lecture de « Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert »

Les demandes de certificat pour le répondeur en ligne (OCSP) échouent sporadiquement avec le message d'erreur „ La fonction de révocation n'a pas pu vérifier la révocation du certificat. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK) “.“

Supposons le scénario suivant :

  • Un répondeur en ligne (OCSP) est configuré dans le réseau.
  • Les autorités de certification signalent à intervalles irréguliers que les demandes de certificats pour les certificats de signature de réponse OCSP échouent avec le message d'erreur suivant :
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).
Continuer la lecture de « Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »

Déclencher par programme le processus d'auto-enrollment pour l'utilisateur connecté

Supposons le scénario suivant :

  • On écrit un script ou une application qui doit déclencher le processus d'auto-inscription pour l'utilisateur actuellement connecté.
  • On constate alors que la tâche prévue ne peut pas être exécutée.
  • Le message d'erreur est le suivant
The user account does not have permissions to run this task.
Continuer la lecture de « Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen »

Activer la journalisation pour la demande automatique de certificat (auto-enrollment)

Vous trouverez ci-dessous un aperçu des événements générés par les clients de certificats Windows dans l'observateur d'événements Windows, leur activation et leur identification.

Continuer la lecture de « Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren »

Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM (MS-WCCE)

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour la demande automatique de certificats (auto-inscription).
  • Le modèle de certificat est publié sur une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Les utilisateurs ou les ordinateurs configurés pour la demande automatique de certificats ne demandent toutefois pas les certificats comme prévu.

Vous trouverez ci-dessous un guide de dépannage.

Continuer la lecture de « Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM (MS-WCCE) »

Détails de l'événement avec l'ID 1 de la source Microsoft-Windows-CertificateServicesClient

Source de l'événement :Client des services de certificats Microsoft Windows
ID de l'événement :1 (0x1)
Journal des événements :Application
Type d'événement :Information
Texte de l'événement (en anglais) :Le client des services de certificats a été démarré avec succès.
Texte de l'événement (en allemand) :Der Zertifikatdienstclient wurde erfolgreich gestartet.
Continuer la lecture de « Details zum Ereignis mit ID 1 der Quelle Microsoft-Windows-CertificateServicesClient »

Détails de l'événement ID 502 de la source Microsoft-Windows-CertificateServicesClient

Source de l'événement :Client des services de certificats Microsoft Windows
ID de l'événement :502 (0x1F6)
Journal des événements :Application
Type d'événement :Avertissement
Texte de l'événement (en anglais) :Certificate Services Client failed to register Group Policy notifications. Error code: %1.
Texte de l'événement (en allemand) :Fehler bei der Registrierung der Gruppenrichtlinienbenachrichtigungen durch den Zertifikatdienstclient. Fehlercode: %1.
Continuer la lecture de « Details zum Ereignis mit ID 502 der Quelle Microsoft-Windows-CertificateServicesClient »

Détails de l'événement ID 4 de la source Microsoft-Windows-CertificateServicesClient

Source de l'événement :Client des services de certificats Microsoft Windows
ID de l'événement :4 (0x4)
Journal des événements :Application
Type d'événement :Information
Texte de l'événement (en anglais) :Le client des services de certificats a détecté une déconnexion réseau.
Texte de l'événement (en allemand) :Le client du service de certificats n'a détecté aucune connectivité réseau.
Continuer la lecture de « Details zum Ereignis mit ID 4 der Quelle Microsoft-Windows-CertificateServicesClient »

Détails de l'événement avec l'ID 2 de la source Microsoft-Windows-CertificateServicesClient

Source de l'événement :Client des services de certificats Microsoft Windows
ID de l'événement :2 (0x2)
Journal des événements :Application
Type d'événement :Information
Texte de l'événement (en anglais) :Le client des services de certificats a été arrêté.
Texte de l'événement (en allemand) :Der Zertifikatdienstclient wurde angehalten.
Continuer la lecture de « Details zum Ereignis mit ID 2 der Quelle Microsoft-Windows-CertificateServicesClient »

Details zum Ereignis mit ID 1001 der Quelle Microsoft-Windows-CertificateServicesClient

Source de l'événement :Client des services de certificats Microsoft Windows
ID de l'événement :1001 (0x3E9)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :Certificate Services Client failed to load Provider %1. Error code %2.
Texte de l'événement (en allemand) :Zertifikatdienstclient: der Anbieter %1 konnte nicht geladen werden. Fehlercode %2.
Continuer la lecture de « Details zum Ereignis mit ID 1001 der Quelle Microsoft-Windows-CertificateServicesClient »

Details zum Ereignis mit ID 3 der Quelle Microsoft-Windows-CertificateServicesClient

Source de l'événement :Client des services de certificats Microsoft Windows
ID de l'événement :3 (0x3)
Journal des événements :Application
Type d'événement :Information
Texte de l'événement (en anglais) :Le client des services de certificats a détecté une connectivité réseau.
Texte de l'événement (en allemand) :Vom Zertifikatdienstclient wurde Netzwerkkonnektivität festgestellt.
Continuer la lecture de « Details zum Ereignis mit ID 3 der Quelle Microsoft-Windows-CertificateServicesClient »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais