Catégorie : Active Directory

Que se passe-t-il si un utilisateur a demandé plusieurs certificats ?

J'ai récemment été confronté au phénomène suivant : en raison d'une logique de demande défectueuse, plusieurs utilisateurs avaient demandé de nouveaux certificats à intervalles réguliers.

Le modèle de certificat était configuré pour que les demandes de certificat entrantes soient approuvées par un gestionnaire de certificats, c'est-à-dire qu'il n'y avait pas de délivrance automatique des certificats. Les demandes de certificat devaient être vérifiées à l'aide d'un code spécifique, puis approuvées.

On pourrait s'attendre à ce que (puisque toutes les demandes de certificats sont finalement acceptées) les utilisateurs trouvent plusieurs certificats du même type dans leur liste de certificats (et dans les applications qui les utilisent). Or, ce n'est pas le cas.

Continuer la lecture de « Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat? »

La génération d'un modèle de certificat n'est pas possible. Message d'erreur "The following template name has already been used" (Le nom de modèle suivant a déjà été utilisé)

Supposons le scénario suivant :

  • Un nouveau modèle de certificat doit être créé.
  • La création échoue avec le message d'erreur suivant :
The following template name has already been used: ADCSLaborBenutzerTest. Enter a unique template name.
Continuer la lecture de « Die Erzeugung einer Zertifikatvorlage ist nicht möglich. Fehlermeldung „The following template name has already been used“ »

Limites des services de certificats Microsoft Active Directory

Les services de certificats Active Directory existent (même si sous un autre nom) dans leurs grandes lignes depuis Windows NT 4.0. L'architecture basée sur Active Directory utilisée aujourd'hui a été introduite avec Windows 2000 Server. Les AD CS sont très bien intégrés dans l'écosystème Windows et continuent de jouir d'une grande popularité dans le monde entier auprès des entreprises et des administrations de toutes tailles.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

L'installation des modèles de certificats par défaut échoue avec le message d'erreur "This security ID may not be assigned as the owner of this object".

Supposons le scénario suivant :

  • Une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority) doit être installée pour la première fois dans le réseau.
  • Pour des raisons de sécurité, les droits d'installation de l'autorité de certification ont été délégués à un groupe de sécurité ou à un compte séparé, de sorte qu'il n'est pas nécessaire de se connecter en tant qu'administrateur d'entreprise. Formulé dans l'autre sens : L'utilisateur utilisé n'est pas membre du groupe "Enterprise Administrators" dans la structure globale d'Active Directory.
  • Comme il s'agit de la première autorité de certification dans le réseau, il n'y a pas encore d'autorité de certification. Modèles de certificats standard est installé dans l'Active Directory. En ouvrant la console de gestion des modèles de certificats (certtmpl.msc), on est invité à les installer.
  • L'installation échoue avec le message d'erreur suivant :
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.
Continuer la lecture de « Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung „This security ID may not be assigned as the owner of this object.“ »

Les certificats d'autorité racine sont importés dans la liste de certificats d'autorité de certification intermédiaire des membres du domaine.

Certains auront sans doute remarqué que la liste de certificats pour les autorités de certification intermédiaires contient généralement aussi des certificats pour les autorités de certification racines.

En règle générale, ce comportement n'est pas critique. Dans certains cas cela peut toutefois entraîner des problèmes avec les applications.

Continuer la lecture de « Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert »

Principes de base : remplacement (superseding) des modèles de certificat

Avec l'introduction des modèles de certificats de la version 2 avec Windows XP et Windows Server 2003, une option a été ajoutée permettant à un modèle de certificat d'en remplacer un ou plusieurs autres.

Cela permet de remplacer les certificats émis par ceux d'un autre modèle de certificat ou de regrouper plusieurs modèles de certificats en un seul.

Continuer la lecture de « Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen »

La liste locale des certificats des autorités de certification racines de confiance n'est pas synchronisée à partir d'Active Directory.

Supposons le scénario suivant :

  • Une hiérarchie d'autorités de certification est établie dans le réseau et l'autorité de certification racine est représentée dans la partition de configuration de la structure globale Active Directory.
  • Les membres du domaine sont configurés pour exécuter le processus d'auto-inscription et ainsi mettre à jour les autorités de certification racine de confiance à partir de la partition de configuration.
  • Cependant, ce processus ne fonctionne pas avec certains clients. Les certificats de l'autorité de certification racine ne sont pas téléchargés automatiquement et enregistrés dans le magasin de confiance local.
  • Conséquence les demandes de certificats peuvent échouer, par exemple parce que la hiérarchie des autorités de certification n'est pas fiable.
Continuer la lecture de « Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert »

De zéro à administrateur d'entreprise grâce au service d'enregistrement des périphériques réseau (NDES) – et comment y remédier

Je voudrais présenter ci-après une configuration PKI extrêmement dangereuse, qui n'est peut-être pas forcément connue du grand public, mais qui est probablement très courante dans les réseaux d'entreprise.

Je montre comment, en exploitant diverses circonstances malheureuses dans l'infrastructure PKI Windows, il est possible d'obtenir une augmentation des droits, allant du simple accès au réseau à la prise de contrôle totale de l'Active Directory.

Dans cet exemple, le point d'attaque initial est le service d'enregistrement des périphériques réseau (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »

La demande de certificat échoue avec le message d'erreur „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“.“

Supposons le scénario suivant :

  • Une tentative de demande de certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise CA) pour un utilisateur ou un ordinateur est en cours.
  • La demande de certificat échoue avec le message d'erreur suivant :
The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).“ »

Configuration d'un modèle de certificat pour l'utilisation du Microsoft Platform Crypto Provider afin de permettre la protection de la clé privée par un Trusted Platform Module (TPM)

Depuis Windows 8, il est possible de protéger les clés privées des certificats à l'aide d'un module de plate-forme de confiance (TPM), si celui-ci est disponible. Cela permet une véritable non-exportabilité de la clé.

Le processus de configuration d'un modèle de certificat utilisant un module Trusted Platform est décrit ci-dessous.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen »

Signer des certificats en contournant l'autorité de certification

Dans les discussions sur la sécurité d'une autorité de certification, on entend régulièrement qu'un abus de l'autorité de certification pourrait être endigué par ses paramètres de sécurité.

Il n'est toutefois pas évident à première vue que l'intégrité d'une autorité de certification soit directement liée à son matériel de clé et qu'elle puisse donc être compromise par ce dernier.

Il faut se représenter le logiciel d'autorité de certification comme une sorte de gestion autour du matériel clé. Le logiciel offre par exemple une Interface en ligne pour la demande de certificat s'occupe de l'authentification des demandeurs, de l'exécution automatisée des opérations de signature (délivrance de certificats et de Listes de blocage) et leur enregistrement (Base de données des organismes de certification, Protocole d'audit, Journal des événements).

Or, les opérations de signature ne nécessitent rien d'autre que la clé privée de l'autorité de certification. L'exemple suivant montre comment un attaquant peut, s'il a accès à la clé privée de l'autorité de certification, générer et émettre des certificats sans que le logiciel de l'autorité de certification et ses mécanismes de sécurité ne le sachent.

Avec un tel certificat, ce serait même possible dans le pire des cas, de reprendre la structure globale d'Active Directory sans être détecté.

Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle »

Lors de l'installation d'une autorité de certification intégrée à Active Directory, le message d'erreur „Insufficient access rights to perform the operation. 0x80072098 (Win32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ apparaît.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée via Windows PowerShell.
  • Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
  • Après avoir exécuté l'assistant de configuration de rôle, un ou plusieurs des messages d'erreur suivants sont affichés sur la ligne de commande :
Setup could not add the Certification Authority's computer account to the Pre-Windows 2000 Compatible Access security group. Certificate managers Restrictions feature will not work correctly on this Certification Authority. To fix this, an administrator must manually add the Certification's Authority's computer account to the Pre-Windows 2000 Compatible Access security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Warning: Setup could not add the certification authority’s computer account to the cert Publishers Security Group. This Certification Authority will not be able to publish certificates in Active Directory. To fix this, an administrator must manually add the Certification Authority’s computer account to the Cert Publishers security group in Active Directory.  Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Bei der Installation einer Active Directory integrierten Zertifizierungsstelle erscheint die Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur „Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée.
  • Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
  • Une fois le certificat d'autorité de certification délivré par l'autorité de certification supérieure, celui-ci est installé afin de finaliser la configuration des rôles.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

Le nom d'affichage d'un modèle de certificat n'est pas résolu. Seul l'identifiant d'objet (OID) du modèle de certificat est affiché.

Supposons le scénario suivant :

  • Pour un modèle de certificat, seul l'identificateur d'objet (Object Identifier) est affiché, mais pas le nom d'affichage et/ou
  • Les requêtes sur la base de données des autorités de certification contiennent uniquement l'identifiant de l'objet pour le modèle de certificat (champ „CertificateTemplate“), mais pas le nom d'affichage.
Continuer la lecture de « Der Anzeigename einer Zertifikatvorlage wird nicht aufgelöst. Es wird nur der Objektidentifizierer (OID) der Zertifikatvorlage angezeigt. »

Y a-t-il une dépendance du service d'enregistrement des périphériques réseau (NDES) avec l'objet NTAuthCertificates ?

Le service d'enregistrement des appareils en réseau (NDES) dispose de deux Autorité d'enregistrement Les certificats. Avec le certificat d'agent d'inscription, les demandes de certificat sont signées et on peut Configurer le modèle d'appareil NDES de manière à ce que les certificats ne soient délivrés que si les demandes de certificats soumises comportent une signature correspondante..

Si l'on prévoit de faire appel à l'autorité de certification associée au NDES supprimer de l'objet NTAuthCertificates, La question se pose de savoir s'il faut tenir compte de l'interdépendance - après tout, le fait d'avoir des enfants ne signifie pas qu'ils n'en ont pas besoin. Enroll on Behalf Of (EOBO) (inscription à l'appui) la présence du certificat d'autorité de certification dans NTAuthCertificates.

Continuer la lecture de « Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt? »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais