Catégorie : Base de données des organismes de certification

Combien de noms alternatifs (Subject Alternative Name, SAN) sont pris en charge par Active Directory Certificate Services ?

Comme tout logiciel les services de certificats Microsoft Active Directory sont également soumis à certaines limitesLes produits de la marque sont soumis à des contraintes imposées par leur conception.

Il n'est pas aussi évident de répondre à la question de savoir combien de Noms alternatifs des demandeurs (Subject Alternative Name, SAN) être délivrés avec l'autorité de certification Microsoft.

L'IETF RFC 5280 décrit la structure pour les Subject Alternative Names comme suit :

SubjectAltName ::= GeneralNames
Continuer la lecture de « Wie viele Alternative Antragstellernamen (engl. Subject Alternative Name, SAN) unterstützen die Active Directory Certificate Services? »

Démantèlement d'une autorité de certification intégrée à Active Directory (Enterprise CA)

Il existe de nombreuses instructions pour la mise en place et la mise en service de services informatiques. Mais la plupart du temps, on oublie les instructions correspondantes pour la mise hors service.

Vous trouverez ci-dessous une description de la manière correcte de mettre hors service une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority).

Continuer la lecture de « Rückbau einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) »

Vérification de l'intégrité des sauvegardes de la base de données des autorités de certification

Dans le cadre de la création d'une Sauvegarde (backup) d'une autorité de certification peut soulever la question de savoir comment s'assurer que l'intégrité de la sauvegarde de la base de données de l'autorité de certification est garantie, de sorte qu'en cas d'urgence, elle soit correctement rétabli peut être.

La base de données des organismes de certification est Moteur de base de données Microsoft JET Blue (également connu sous le nom de Moteur de stockage extensible, ESE) abgebildet. Deren Arbeits- und Sicherungsdateien haben die Endung .edb und können mit dem Betriebssystem-Werkzeug esentutl sont gérés.

Continuer la lecture de « Prüfen der Integrität von Sicherungen der Zertifizierungsstellen-Datenbank »

Le schéma de la base de données des organismes de certification

Si l'on souhaite Consultation de la base de données des autorités de certification il faut d'abord savoir ce que l'on veut chercher.

Il est possible d'éditer le schéma de la base de données de l'autorité de certification.

Continuer la lecture de « Das Datenbankschema der Zertifizierungsstellen-Datenbank »

Limites des services de certificats Microsoft Active Directory

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory basierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

Établir une correspondance entre un certificat d'utilisateur et l'ordinateur correspondant

Supposons le scénario suivant :

  • L'ordinateur d'un utilisateur est détourné ou infecté par un logiciel malveillant.
  • L'intégrité des certificats se trouvant sur l'ordinateur ne peut plus être garantie.
  • Les certificats de l'utilisateur/de l'utilisatrice qui ont été demandés sur cet ordinateur doivent être révoqués.
  • On souhaite toutefois éviter de révoquer tous les certificats d'un utilisateur.
  • Il faut donc établir un lien entre les certificats de l'utilisateur et l'ordinateur sur lequel ils ont été demandés.

Si les certificats ont été envoyés par Autoenrollment nous pouvons tirer parti du fait qu'un attribut correspondant faisait partie de la demande de certificat initiale et que la demande de certificat est stockée avec le certificat dans la base de données de l'autorité de certification.

Continuer la lecture de « Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen »

Récupération des certificats à partir des données du module de sortie SMTP

Restaurer une autorité de certification après une catastrophe à partir d'une sauvegarde (backup)Si l'on se réfère à l'article 6 de la loi sur la protection des données, il est probable que l'on constate que des certificats ont été émis entre la dernière sauvegarde et la panne du système, avec la perte de données qui s'ensuit.

Ces certificats ne sont pas enregistrés dans la base de données de l'autorité de certification restaurée et ne peuvent donc pas être restaurés en cas de besoin.

Si l'on utilise le module SMTP Exit, on peut au moins déterminer les numéros de série des certificats à partir des e-mails envoyés et les révoquer.

Continuer la lecture de « Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls »

Déplacer la base de données de l'autorité de certification dans un autre répertoire ou sur un autre lecteur

Dans le cadre de l'exploitation d'une autorité de certification, il peut s'avérer nécessaire de modifier ultérieurement le chemin d'accès à la base de données de l'autorité de certification. Par exemple, on peut vouloir déplacer la base de données vers une autre partition/un autre disque.

Continuer la lecture de « Verschieben der Zertifizierungsstellen-Datenbank in ein anderes Verzeichnis oder auf ein anderes Laufwerk »

L'émission de certificats ou de listes de révocation échoue avec le code d'erreur CERTSRV_E_NO_DB_SESSIONS

Supposons le scénario suivant :

  • L'autorité de certification ne peut pas délivrer de certificats et/ou
  • L'autorité de certification ne peut pas émettre de listes de blocage.
  • Au moins un des messages d'erreur suivants est consigné :

ID de l'événement : 53 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services denied request 12345 because An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS). The request was for CN=Rudi Ratlos. Additional information: Denied by Policy Module

ID de l'événement : 130 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services could not create a certificate revocation list. An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions 0x8009400f (-2146877425). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.
Continuer la lecture de « Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS »

Le nom d'affichage d'un modèle de certificat n'est pas résolu. Seul l'identifiant d'objet (OID) du modèle de certificat est affiché.

Supposons le scénario suivant :

  • Pour un modèle de certificat, seul l'identificateur d'objet (Object Identifier) est affiché, mais pas le nom d'affichage et/ou
  • Les requêtes sur la base de données des autorités de certification contiennent uniquement l'identifiant de l'objet pour le modèle de certificat (champ „CertificateTemplate“), mais pas le nom d'affichage.
Continuer la lecture de « Der Anzeigename einer Zertifikatvorlage wird nicht aufgelöst. Es wird nur der Objektidentifizierer (OID) der Zertifikatvorlage angezeigt. »

Détails de l'événement avec ID 4880 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4880 (0x1310)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Services de certificats lancés. Hachage de la base de données des certificats : %1 Compte d'utilisation de la clé privée : %2 Hachage du certificat CA : %3 Hachage de la clé publique CA : %4
Texte de l'événement (en allemand) :Les services de certificat ont été lancés. Hachage de la base de données des certificats : %1 Nombre d'utilisation de la clé privée : %2 Hachage de l'autorité de certification : %3 Hachage de la clé publique de l'autorité de certification : %4
Continuer la lecture de « Details zum Ereignis mit ID 4880 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 22 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :22 (0x16)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu traiter la demande %1 en raison d'une erreur : %2. La demande concernait %3. Informations supplémentaires : %4
Texte de l'événement (en allemand) :La requête %1 n'a pas pu être exécutée en raison d'une erreur : %2. La requête concernait %3. Informations complémentaires : %4
Continuer la lecture de « Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority »

Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services

Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option „Start and Stop Active Directory Certificate Services“ auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.

Continuer la lecture de « Performanceprobleme bei Auditierung von „Start and stop Active Directory Certificate Services“ »

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Restauration d'une autorité de certification à partir d'une sauvegarde (backup)

Nachfolgend wird die Wiederherstellung einer Zertifizierungsstelle aus der Sicherung beschrieben. Neben dem Katastrophenfall ist diese Vorgehensweise auch Teil der Migration eine Zertifizierungsstelle auf einen neuen Server.

Continuer la lecture de « Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais