Catégorie : Enregistrement web des autorités de certification (CAWE)

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Limites des services de certificats Microsoft Active Directory

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory basierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".

Supposons le scénario suivant :

  • Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
  • L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »

Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

Continuer la lecture de « Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur HTTP 401 "Unauthorized : Access is denied due to invalid credentials".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La connexion de l'utilisateur à CAWE échoue avec le code HTTP 401 "Unauthorized : Access is denied due to invalid credentials" :
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 401 „Unauthorized: Access is denied due to invalid credentials.“ »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur HTTP 403 "Forbidden : Access is denied".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La connexion de l'utilisateur à CAWE échoue avec le code HTTP 403 "Forbidden : Access is denied :
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 „Forbidden: Access is denied.“ »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le message d'erreur "No certificate templates could be found", ou le modèle de certificat souhaité n'est pas affiché

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de soumettre une demande de certificat existante à l'autorité de certification via l'enregistrement web de l'autorité de certification.
  • Le modèle de certificat souhaité ne figure pas dans la liste des modèles de certificats sélectionnables ou la liste est entièrement vide.
  • Si la liste est vide, le message d'erreur suivant est également affiché :
No certificate templates could be found. You do not have permission to request a certificate from this CA, or an error occurred while accessing the Active Directory.
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlermeldung „No certificate templates could be found.“, oder die gewünschte Zertifikatvorlage wird nicht angezeigt »

Effectuer un test de fonctionnement pour l'enregistrement web de l'autorité de certification (CAWE)

Après l'installation et la configuration du Certificate Authority Web Enrollment (CAWE), il est essentiel que le composant soit testé de manière approfondie avant d'être mis à la disposition des utilisateurs. Vous trouverez ci-dessous des instructions pour un test fonctionnel détaillé.

Continuer la lecture de « Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE) »

Installer l'enregistrement web de l'autorité de certification (CAWE)

La procédure d'installation de l'inscription Web de l'autorité de certification (Certificate Authority Web Enrollment, CAWE) est décrite ci-dessous.

Continuer la lecture de « Installieren der Zertifizierungsstellen-Webregistrierung (CAWE) »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur HTTP 500 "Internal Server error".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La demande prend beaucoup de temps et échoue finalement avec le code HTTP 500 "Internal server error" :
There is a problem with the resource you are looking for, and it cannot be displayed.
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 „Internal Server error“ »

Configurer l'enregistrement web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de domaine

Vous trouverez ci-dessous une description de la manière de configurer l'inscription Web de l'autorité de certification (CAWE) afin que le service fonctionne sous un compte de domaine.

Continuer la lecture de « Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur "ERROR_ACCESS_DENIED".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La demande échoue avec le message d'erreur suivant :
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.

Dans les détails du message d'erreur, on trouve la remarque suivante :

CCertRequest::Submit: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode „ERROR_ACCESS_DENIED“ »

Configurer le registre web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de service gMSA (Group Managed Service Account)

Pour des raisons de sécurité, il peut être préférable de faire fonctionner le CAWE avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.

Continuer la lecture de « Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren »

Autorisations de sécurité Windows nécessaires pour l'enregistrement web de l'autorité de certification (CAWE)

Supposons que vous implémentiez le modèle de niveau administratif de Microsoft Active Directory ou que vous appliquiez des mesures de durcissement similaires sur vos serveurs, cela aura un impact sur l'inscription Web de l'autorité de certification (CAWE).

Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE) »

Activer le protocole Secure Sockets Layer (SSL) pour l'enregistrement web de l'autorité de certification (CAWE)

Dans la configuration standard, le Certificate Authority Web Enrollment (CAWE) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer le CAWE pour HTTP via TLS (HTTPS) afin de rendre l'enregistrement du trafic réseau plus difficile. Vous trouverez ci-dessous des instructions à ce sujet.

Continuer la lecture de « Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais