Les restrictions de noms font partie de la norme X.509 et sont définies dans le RFC 5280 ont été décrits. Ils constituent un outil qui peut être utilisé dans le cadre subordination qualifiée peut être utilisé pour contrôler finement la portée d'un certificat d'autorité de certification.
Continuer la lecture de « Grundlagen: Namenseinschränkungen (Name Constraints) »Catégorie : Installation de l'autorité de certification
Jeton pour la configuration CDP et AIA d'une autorité de certification
Nachfolgend eine Übersicht über die Tokens für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle.
Continuer la lecture de « Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle »Installation der Rollen-Dateien für die Zertifizierungsstelle
Seit Windows Server 2008 besteht die Installation der Zertifizierungsstellen-Rolle aus zwei Schritten:
- Installation der Rollen-Dateien. Dieser Schritt wird nachfolgend beschrieben.
- Konfiguration der Zertifizierungsstellen-Rolle.
Description des paramètres de configuration nécessaires pour le profil de certificat "Common PKI".
Vous trouverez ci-dessous une description des paramètres de configuration nécessaires pour qu'une hiérarchie de certificats basée sur les services de certificats Active Directory soit conforme à la norme „ Common PKI “ (anciennement connue sous le nom d'ISIS-MTT).
Continuer la lecture de « Beschreibung der notwendigen Konfigurationseinstellungen für das „Common PKI“ Zertifikatprofil »Principes de base : limiter l'utilisation de la clé étendue (Extended Key Usage, EKU) dans les certificats d'autorité de certification
Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.
En cas de compromission de l'autorité de certification, le dommage est alors (tout de même) limité aux Extended Key Usages définis.
Le Smart Card Logon Extended Key Usage, intéressant pour de nombreuses attaques (en relation avec l'adhésion de l'autorité de certification à NTAuthCertificates) ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.
Continuer la lecture de « Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten »Quelles sont les longueurs de clé à utiliser pour les autorités de certification et les certificats ?
Lors de la planification d'une infrastructure à clé publique, la question se pose naturellement de savoir quelles longueurs de clé il convient de choisir pour les certificats d'autorité de certification et les certificats finaux.
Continuer la lecture de « Welche Schlüssellängen sollten für Zertifizierungsstellen und Zertifikate verwendet werden? »Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".
Supposons le scénario suivant :
- On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
- Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
- Lors de l'installation, on obtient le message d'erreur suivant :
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)Continuer la lecture de « Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »
La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".
Supposons le scénario suivant :
- On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
- L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
- La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant :
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »
La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".
Supposons le scénario suivant :
- On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
- L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
- La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant :
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)“ »
Suppression des extensions spécifiques à ADCS des certificats
Si l'on utilise Active Directory Certificates, on remarque que les certificats des autorités de certification et les certificats qu'elles émettent comportent certaines extensions qui ne sont pas définies dans les RFC pertinents et qui sont spécifiques à AD CS.
Règles de pare-feu requises pour Active Directory Certificate Services
Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »Description du drapeau EDITF_ADDOLDKEYUSAGE
Lorsque l'on installe une autorité de certification subordonnée, il se peut que l'on se heurte au comportement suivant :
- On demande une extension Key Usage qui est par exemple marquée comme critique ou qui ne contient pas DigitalSignature.
- Cependant, le certificat délivré par l'autorité de certification parente contient DigitalSignature et l'extension Key Usage est marquée comme non critique.
- L'autorité de certification supérieure est une autorité de certification autonome, c'est-à-dire sans intégration Active Directory.
Français 
Deutsch 
English