Catégorie : Maintenance des organismes de certification

Suppression d'anciens certificats d'autorité de certification de la configuration d'une autorité de certification

Au cours de la vie d'une autorité de certification, les certificats d'autorité de certification sont renouvelés conformément à la planification de leur cycle de vie. A cette occasion, une nouvelle paire de clés peut être utilisée en option. Les certificats d'autorité de certification précédents expirent ou sont révoqués.

Les certificats d'autorité de certification expirés peuvent poser problème dans certaines circonstances, par exemple lorsque les clés privées correspondantes sont stockées sur d'anciens modules de sécurité matériels (HSM) et qu'il est très difficile de les migrer vers un nouveau matériel.

Dans un tel cas, il peut être utile de supprimer les anciens certificats d'autorité de certification de la configuration de l'autorité de certification.

Continuer la lecture de « Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle »

Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance

Si l'on souhaite effectuer des travaux de maintenance, par exemple Migration vers un autre serveur ou effectuer des modifications de configuration importantes nécessitant un test de fonctionnement sur une autorité de certification, on souhaite que le service d'autorité de certification fonctionne, mais on veut en même temps éviter que des certificats soient automatiquement demandés à l'autorité de certification et délivrés par celle-ci pendant cette phase.

Continuer la lecture de « Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen »

Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification

Supposons le scénario suivant :

  • Une instance NDES est installée sur le réseau.
  • L'autorité de certification délivrant des NDES doit être modifiée.

La déclaration officielle à ce sujet est que, dans ce cas, NDES doit être réinstallé et configuré. Cela n'est toutefois pas nécessaire. Les étapes nécessaires sont décrites ci-dessous.

Continuer la lecture de « Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen »

Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".

Supposons le scénario suivant :

  • On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
  • Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
  • Lors de l'installation, on obtient le message d'erreur suivant :
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
Continuer la lecture de « Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »

Installer les outils de gestion du serveur distant pour Active Directory Certificate Services sur Windows 10 (version 1809 ou ultérieure)

Depuis la version 1809 de Windows 10, les outils de gestion du serveur distant ne sont plus disponibles en tant que téléchargement autonome, mais font partie des fonctionnalités à la demande.

Continuer la lecture de « Remoteserver-Verwaltungstools für Active Directory Certificate Services auf Windows 10 ab Version 1809 installieren »

Compactage (défragmentation) de la base de données de l'autorité de certification

Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées sans que l'on s'en aperçoive et qu'elles aient été refusées, il se peut aussi que la base de données contienne de nombreux certificats qui ont été émis en double. Après que les entrées correspondantes ont été supprimées de la base de données des organismes de certificationSi l'espace de stockage est déjà utilisé, il faut (peut) encore libérer l'espace ainsi gagné en le comprimant dans le système de fichiers du serveur.

Continuer la lecture de « Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank »

Consultation du tableau des listes de blocage de la base de données des autorités de certification

Par défaut, l'autorité de certification enregistre toutes les listes de révocation qui n'ont pas encore expiré dans la base de données de l'autorité de certification.

Dans certaines circonstances, par exemple à cause d'un script mal configuré, de très nombreuses listes de blocage sont ainsi enregistrées dans la base de données, ce qui peut entraîner une croissance correspondante de la base de données (par exemple si de grandes listes de blocage sont recréées très souvent).

Continuer la lecture de « Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais