Catégorie : Services d'information sur Internet (IIS)

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Principes de base : procédures d'authentification pour les services d'information Internet (IIS)

Les services de certificats Active Directory offrent une série d'interfaces supplémentaires basées sur le web (Service d'enregistrement des périphériques réseau (NDES), Service de politique d'enregistrement des certificats (CEP), Service web d'enregistrement des certificats (CES), Enregistrement web des autorités de certification (CAWE).

Les Microsoft Internet Information Services (IIS) sont donc pratiquement indispensables pour une ICP Microsoft. Chacune des interfaces basées sur le web (ainsi que les développements propres) présente ses propres défis en termes de procédures d'authentification et d'implémentation.

L'article suivant a pour but d'apporter un peu de clarté sur le sujet.

Continuer la lecture de « Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Utilisation de Microsoft Network Load Balancing (NLB) pour les services web de registre des certificats (CEP, CES)

Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.

Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature „Network Load Balancing“ (NLB) erreicht werden kann.

Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES) »

Configurer le service Web d'inscription aux certificats (CES) pour une utilisation avec un compte de service géré par le groupe (gMSA)

Aus Sicherheitsgründen kann es sinnvoll sein, den CES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.

Continuer la lecture de « Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »

Activer le protocole Secure Sockets Layer (SSL) pour l'enregistrement web de l'autorité de certification (CAWE)

Dans la configuration standard, le Certificate Authority Web Enrollment (CAWE) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer le CAWE pour HTTP via TLS (HTTPS) afin de rendre l'enregistrement du trafic réseau plus difficile. Vous trouverez ci-dessous des instructions à ce sujet.

Continuer la lecture de « Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren »

Installation d'un service web Certificate Enrollment Policy (CEP)

La procédure d'installation du Certificate Enrollment Policy Web Service (CEP) est décrite ci-dessous.

Continuer la lecture de « Installation eines Certificate Enrollment Policy Web Service (CEP) »

Configurer le Certificate Enrollment Policy Web Service (CEP) pour qu'il fonctionne avec un compte de domaine

Nous décrivons ci-dessous comment configurer un Certificate Enrollment Policy Web Service (CEP) pour que le service fonctionne sous un compte de domaine.

Continuer la lecture de « Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren »

Configurer le Certificate Enrollment Policy Web Service (CEP) pour qu'il fonctionne avec un Group Managed Service Account (gMSA)

Pour des raisons de sécurité, il peut être préférable de faire fonctionner le CEP avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.

Continuer la lecture de « Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "You do not have sufficient permission to enroll with SCEP. Veuillez contacter votre administrateur système".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
You do not have sufficient permission to enroll with SCEP. Please contact your system administrator. 
Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.“ »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "CMSCEPSetup::Install : The system cannot find the path specified. 0x80070003 (WIN32 : 3 ERROR_PATH_NOT_FOUND)".

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
CMSCEPSetup::Install: The system cannot find the path specified. 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „CMSCEPSetup::Install: The system cannot find the path specified. 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)“ »

Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)

Dans la configuration standard, le Network Device Enrollment Service (NDES) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer au moins la page web d'administration de NDES pour HTTP via TLS (HTTPS) afin de rendre plus difficile l'enregistrement du trafic réseau. Vous trouverez ci-dessous des instructions à ce sujet.

Pour un examen plus approfondi de la nécessité d'utiliser SSL, voir l'article "Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„ .

Continuer la lecture de « Secure Sockets Layer (SSL) für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren »

Règles de pare-feu requises pour Active Directory Certificate Services

Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »

Utilisation de Microsoft Network Load Balancing (NLB) pour les points de distribution de la liste de blocage (CDP), l'accès aux informations sur les postes (AIA) et les répondeurs en ligne (OCSP)

C'est généralement une bonne idée de garantir à tout moment la disponibilité des points de distribution des listes de blocage (CRL Distribution Point, CDP), des informations sur les autorités (Authority Information Access, AIA) et, le cas échéant, des répondeurs en ligne (Online Responder, OCSP).

L'accès aux informations de révocation est même plus critique que l'accès à l'autorité de certification elle-même. Si le statut de révocation d'un certificat ne peut pas être vérifié, il se peut (selon l'application) que le certificat ne soit pas considéré comme fiable et que le service informatique correspondant ne puisse pas être utilisé.

Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP) »

Transfert des listes de révocation de certificats vers les points de distribution de la liste de révocation à l'aide de SSH Secure Copy (SCP) avec authentification par clé publique (Windows Server 2019)

Si les serveurs qui fournissent les points de distribution des listes de blocage se trouvent par exemple dans une zone démilitarisée (DMZ) ou si, pour d'autres raisons, le transfert de données via Server Message Block (SMB) n'est pas possible, les listes de blocage peuvent être transférées sur les points de distribution à l'aide de SSH Secure Copy (SCP). Depuis Windows Server 2019, il existe les paquets serveur et client OpenSSH. L'installation avec authentification par clé publique (Public Key Authentication) au lieu de mots de passe est décrite ci-dessous à titre d'exemple

Continuer la lecture de « Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais