Author: Uwe Gradenegger

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "The directory name is invalid. 0x8007010b (WIN32/HTTP : 267 ERROR_DIRECTORY)"

Supposons le scénario suivant :

  • On crée une nouvelle liste de blocage sur l'autorité de certification.
  • La publication échoue avec le message d'erreur suivant :
The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)
Continuer la lecture de « Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung „The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)“ »

La publication manuelle d'une liste de révocation de certificats (CRL) dans Active Directory échoue avec le message d'erreur 0x8007202b (WIN32 : 8235 ERROR_DS_REFERRAL)

Supposons le scénario suivant :

  • Une autorité de certification racine hors ligne a été installée. Le serveur sur lequel l'autorité de certification est installée n'est pas un membre du domaine.
  • Celle-ci est configurée pour les publications de listes de blocage dans Active Directory.
  • Les listes de blocage sont téléchargées dans Active Directory à l'aide de certutil -dspublish.
  • L'opération échoue avec le message d'erreur suivant :
certutil -dspublish "ADCS Labor Root CA.crl"
 ldap:///CN=ADCS Labor Root CA,CN=ADCS Labor Root CA,CN=cdp,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
 ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-03100835, data 0, 1 access points
         ref 1: 'unavailableconfigdn'
 CertUtil: -dsPublish command FAILED: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
 CertUtil: A referral was returned from the server.
Continuer la lecture de « Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL) »

Demande manuelle de certificat de contrôleur de domaine

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.

Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Domänencontroller-Zertifikats »

Utilisation de Microsoft Network Load Balancing (NLB) pour les points de distribution de la liste de blocage (CDP), l'accès aux informations sur les postes (AIA) et les répondeurs en ligne (OCSP)

C'est généralement une bonne idée de garantir à tout moment la disponibilité des points de distribution des listes de blocage (CRL Distribution Point, CDP), des informations sur les autorités (Authority Information Access, AIA) et, le cas échéant, des répondeurs en ligne (Online Responder, OCSP).

L'accès aux informations de révocation est même plus critique que l'accès à l'autorité de certification elle-même. Si le statut de révocation d'un certificat ne peut pas être vérifié, il se peut (selon l'application) que le certificat ne soit pas considéré comme fiable et que le service informatique correspondant ne puisse pas être utilisé.

Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP) »

Combinaison du module SMTP Exit avec un serveur SMTP local pour une meilleure résilience

Supposons le scénario suivant :

  • L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
  • Le serveur SMTP configuré n'est pas toujours accessible de manière fiable, par exemple parce qu'il n'est pas conçu pour être hautement disponible.
  • En cas de panne du serveur SMTP, l'autorité de certification ne fonctionnera que très lentement, car les notifications par e-mail ne pourront pas être délivrées. Dans certaines circonstances, le service de l'autorité de certification ne pourra plus démarrer.
Continuer la lecture de « Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit »

Désactiver le module de sortie SMTP d'une autorité de certification

Supposons le scénario suivant :

  • L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
  • Le serveur SMTP configuré n'est pas accessible, par exemple en raison d'une panne.

Dans ce cas, le module de sortie ne peut pas délivrer les notifications par e-mail. Il se met en time-out et l'autorité de certification ne fonctionnera plus que très lentement.

Continuer la lecture de « Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle »

Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures

Supposons le scénario suivant :

  • Les répondeurs en ligne sont configurés pour demander des certificats de signature à partir d'un modèle de certificat d'une autorité de certification intégrée à Active Directory.
  • Les répondeurs en ligne demandent un nouveau certificat de signature à intervalles réguliers (toutes les quatre heures), bien que le certificat existant soit encore valable suffisamment longtemps.
Continuer la lecture de « Der Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate »

Transfert des listes de révocation de certificats vers les points de distribution de la liste de révocation à l'aide de SSH Secure Copy (SCP) avec authentification par clé publique (Windows Server 2019)

Si les serveurs qui fournissent les points de distribution des listes de blocage se trouvent par exemple dans une zone démilitarisée (DMZ) ou si, pour d'autres raisons, le transfert de données via Server Message Block (SMB) n'est pas possible, les listes de blocage peuvent être transférées sur les points de distribution à l'aide de SSH Secure Copy (SCP). Depuis Windows Server 2019, il existe les paquets serveur et client OpenSSH. L'installation avec authentification par clé publique (Public Key Authentication) au lieu de mots de passe est décrite ci-dessous à titre d'exemple

Continuer la lecture de « Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019) »

Requêtes avancées par rapport à la base de données des autorités de certification

La base de données des autorités de certification stocke une grande partie des informations sur les activités d'une autorité de certification. Elle contient entre autres des informations sur

  • Certificats délivrés
  • Certificats révoqués
  • Listes de blocage publiées
  • Demandes de certificats en attente
  • Demandes de certificats refusées
  • Échec de la demande de certificat

La consultation du contenu de la base de données de l'autorité de certification se fait généralement via la console de gestion de l'autorité de certification (certsrv.msc), mais les possibilités d'évaluation et surtout de traitement automatique sont très limitées.

Continuer la lecture de « Erweiterte Abfragen gegen die Zertifizierungsstellen-Datenbank »

La demande de certificat échoue avec le message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Le scénario suivant :

  • Un utilisateur obtient un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Le certificat de l'autorité de certification est fiable, c'est-à-dire qu'il se trouve dans le magasin des autorités de certification racine de confiance (Trusted Root Certification Authorities).
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Autorisations de sécurité Windows requises pour le service d'enregistrement des périphériques réseau (NDES)

Supposons que l'on mette en œuvre le modèle de hiérarchisation administrative (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de durcissement comparables sur ses serveurs, cela aura des répercussions sur les composants NDES.

Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES) »

La demande de certificat échoue avec le message d'erreur "The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).". Lors de l'importation de fichiers PFX, la clé privée est manquante.

Le scénario suivant :

  • L'importation d'un fichier PFX semble réussie, mais la clé privée manque ensuite. Une vérification avec certutil se solde par un message d'erreur "Missing stored keyset".
  • La demande d'un certificat sur un client échoue avec le message d'erreur suivant :
The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).“. Beim Import von PFX-Dateien fehlt der private Schlüssel. »

La demande de certificat pour les contrôleurs de domaine échoue avec le message d'erreur "The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)".

Le scénario suivant :

  • La demande de certificat pour un contrôleur de domaine échoue.
  • Auf der Zertifizierungsstelle wird die Zertifikatanforderung bei den fehlgeschlagenen Anforderungen (failed Requests) protokolliert. Die Fehlermeldung lautet:
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

Les sauvegardes incrémentielles de la base de données des autorités de certification échouent avec le message d'erreur "The database missed a previous full backup before incremental backup".

Supposons le scénario suivant :

  • On utilise certutil.exe ou le commandlet PowerShell Backup-CAService pour sauvegarder sa base de données Active Directory Certificate Services.
  • En plus d'une sauvegarde complète, on effectue également des sauvegardes incrémentielles régulières de la base de données CA.
  • Les sauvegardes incrémentielles échouent avec le message d'erreur "The database missed a previous full backup before incremental backup".
Incremental database backup for…
 Backing up Log files: 0%CertUtil: -backupDB command FAILED: 0xc8000230 (ESE: -560 JET_errMissingFullBackup)
 CertUtil: The database missed a previous full backup before incremental backup
Continuer la lecture de « Inkrementelle Sicherungen der Zertifizierungsstellen-Datenbank schlagen fehl mit der Fehlermeldung „The database missed a previous full backup before incremental backup“ »

La demande de certificat échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".

Supposons le scénario suivant :

  • On essaie de demander un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Pour ce faire, on utilise la console de gestion Microsoft (MMC), soit pour l'utilisateur connecté (certmgr.msc), soit pour l'ordinateur (certlm.msc).
  • Cependant, le modèle de certificat souhaité n'est pas affiché pour être sélectionné, bien qu'il ait été correctement publié sur l'autorité de certification.
  • L'utilisateur (ou l'ordinateur) connecté dispose également des autorisations nécessaires pour demander des certificats du modèle de certificat concerné (Enroll).
  • Dans la liste des modèles de certificats disponibles au sein de la MMC, on peut afficher tous les modèles de certificats. Le modèle de certificat souhaité est indiqué :
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais