Catégorie : Maintenance des organismes de certification

Suppression d'anciens certificats d'autorité de certification de la configuration d'une autorité de certification

Im Laufe der Lebenszeit einer Zertifizierungsstelle werden Zertifizierungsstellen-Zertifikate gemäß der Planung für deren Lebenszyklus erneuert. Hierbei kann optional ein neues Schlüsselpaar verwendet werden. Die vorigen Zertifizierungsstellen-Zertifikate laufen ab oder werden widerrufen.

Abgelaufene Zertifizierungsstellen-Zertifikate können unter Umständen zum Problem werden, wenn beispielsweise die zugehörigen privaten Schlüssel auf alten Hardware Security Modulen (HSM) gespeichert sind, und diese nur unter größeren Schwierigkeiten auf neue Hardware migriert werden können.

In einem solchen Fall kann es sinnvoll sein, alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen.

Continuer la lecture de « Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle »

Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance

Si l'on souhaite effectuer des travaux de maintenance, par exemple Migration vers un autre serveur ou effectuer des modifications de configuration importantes nécessitant un test de fonctionnement sur une autorité de certification, on souhaite que le service d'autorité de certification fonctionne, mais on veut en même temps éviter que des certificats soient automatiquement demandés à l'autorité de certification et délivrés par celle-ci pendant cette phase.

Continuer la lecture de « Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen »

Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification

Supposons le scénario suivant :

  • Une instance NDES est installée sur le réseau.
  • L'autorité de certification délivrant des NDES doit être modifiée.

La déclaration officielle à ce sujet est que, dans ce cas, NDES doit être réinstallé et configuré. Cela n'est toutefois pas nécessaire. Les étapes nécessaires sont décrites ci-dessous.

Continuer la lecture de « Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen »

Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".

Supposons le scénario suivant :

  • On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
  • Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
  • Lors de l'installation, on obtient le message d'erreur suivant :
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
Continuer la lecture de « Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »

Installer les outils de gestion du serveur distant pour Active Directory Certificate Services sur Windows 10 (version 1809 ou ultérieure)

Depuis la version 1809 de Windows 10, les outils de gestion du serveur distant ne sont plus disponibles en tant que téléchargement autonome, mais font partie des fonctionnalités à la demande.

Continuer la lecture de « Remoteserver-Verwaltungstools für Active Directory Certificate Services auf Windows 10 ab Version 1809 installieren »

Compactage (défragmentation) de la base de données de l'autorité de certification

Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées sans que l'on s'en aperçoive et qu'elles aient été refusées, il se peut aussi que la base de données contienne de nombreux certificats qui ont été émis en double. Après que les entrées correspondantes ont été supprimées de la base de données des organismes de certificationSi l'espace de stockage est déjà utilisé, il faut (peut) encore libérer l'espace ainsi gagné en le comprimant dans le système de fichiers du serveur.

Continuer la lecture de « Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank »

Consultation du tableau des listes de blocage de la base de données des autorités de certification

Par défaut, l'autorité de certification enregistre toutes les listes de révocation qui n'ont pas encore expiré dans la base de données de l'autorité de certification.

Dans certaines circonstances, par exemple à cause d'un script mal configuré, de très nombreuses listes de blocage sont ainsi enregistrées dans la base de données, ce qui peut entraîner une croissance correspondante de la base de données (par exemple si de grandes listes de blocage sont recréées très souvent).

Continuer la lecture de « Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais