Catégorie : Service d'enregistrement des périphériques réseau (NDES)

L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".

Supposons le scénario suivant :

  • Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
  • L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »

Liste des cas d'utilisation des certificats nécessitant des fournisseurs de services cryptographiques (CSP) ou des fournisseurs de stockage de clés (KSP) spécifiques

Avec Windows Server 2008, les algorithmes NSA Suite B (également connus sous le nom de Cryptography Next Generation, CNG) ont introduit, avec les fournisseurs de stockage de clés, une nouvelle interface moderne pour la création, le stockage et l'utilisation de clés privées dans l'écosystème Windows.

Dans la plupart des cas, le CSP ou le KSP utilisé pour les certificats n'a pas d'importance. Toutefois, certaines applications ne fonctionneront pas ou pas correctement si le fournisseur choisi n'est pas le bon.

Voici une liste des cas d'utilisation que je connais pour les certificats qui ne fonctionnent qu'avec un fournisseur de services cryptographiques (CSP) ou un fournisseur de stockage de clés (KSP) spécifique.

Continuer la lecture de « Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen »

SSCEP : Le sujet de notre demande ne correspond pas à celui du certificat renvoyé !

Supposons le scénario suivant :

sscep: Subject of our request does not match that of the returned Certificate!
Continuer la lecture de « SSCEP: Subject of our request does not match that of the returned Certificate! »

Installer SSCEP pour Linux (Debian Buster) et demander des certificats via le service d'enregistrement des périphériques réseau (NDES)

Si l'on souhaite équiper une grande quantité de systèmes avec des certificats, il faut une demande manuelle et le renouvellement des certificats ne sont pas une option. La seule voie possible est l'automatisation.

Pour les systèmes qui ne sont pas membres de la structure globale d'Active Directory, une demande automatique de certificat via RPC/DCOM pas une option.

Pour certains cas d'application, le Simple Certificate Enrollment Protocol (SCEP) est une alternative intéressante. Pour ce protocole, il n'existe pas seulement des clients pour Windows, mais aussi pour Linux avec SSCEP. SSCEP est notamment utilisé par les clients légers avec le protocole Système d'exploitation eLux est utilisé.

Voici comment configurer le client SSCEP sur un système Debian Buster Linux, soit pour administrer des serveurs, soit pour tester le comportement côté client.

Continuer la lecture de « SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen »

Changement régulier du mot de passe lorsque le service d'enregistrement des périphériques réseau (NDES) est configuré avec un mot de passe statique

Supposons que l'on exploite un service d'enregistrement de périphériques réseau (Network Device Enrollment Service, NDES) qui s'appuie sur le principe de l'enregistrement des périphériques réseau. est configuré pour utiliser un mot de passe statique. Dans ce cas, contrairement à la configuration standard, le mot de passe de la Demande de certificat par les clients NDES jamais.

Mais il se peut que vous souhaitiez une solution intermédiaire, par exemple un changement quotidien du mot de passe. Ci-dessous, nous décrivons un moyen d'automatiser le changement de mot de passe.

Continuer la lecture de « Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort »

Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell

Si l'on souhaite équiper de certificats des systèmes Windows qui n'ont pas la possibilité de communiquer directement avec une autorité de certification intégrée à Active Directory ou qui ne se trouvent pas du tout dans la même structure globale d'Active Directory, il ne reste dans la plupart des cas que l'installation manuelle des certificats.

Depuis Windows 8.1 / Windows Server 2012 R2, un client intégré pour le Simple Certificate Enrollment Protocoll (SCEP) se trouve toutefois à bord. Côté serveur, SCEP est géré par le Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) mis en œuvre dans l'infrastructure à clés publiques de Microsoft depuis Windows Server 2003.

Une caractéristique particulièrement intéressante de SCEP est que le protocole permet de renouveler un certificat en indiquant un certificat déjà existant. Quoi de plus logique donc que d'utiliser cette interface ? Ce qui manque encore, c'est une automatisation correspondante via Windows PowerShell.

Continuer la lecture de « Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell »

Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)

Le Simple Certificate Enrollment Protocol (SCEP) a été développé par Verisign pour Cisco au début des années 2000 afin de pouvoir utiliser une méthode simplifiée pour demander des certificats. Auparavant, il fallait générer manuellement une demande de certificat pour chaque appareil du réseau, la transmettre à une autorité de certification, puis réinstaller manuellement le certificat délivré sur l'appareil correspondant.

Continuer la lecture de « Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Authentification au service d'enregistrement des périphériques réseau (NDES) avec un certificat existant (mode renouvellement)

Le service d'enregistrement des équipements de réseau (NDES) dispose de la possibilité de s'authentifier avec un certificat déjà émis afin de demander à nouveau un certificat au contenu identique. Ceci est très pratique pour les opérations de renouvellement, car il n'est ainsi plus nécessaire de demander au préalable un mot de passe à usage unique.

Continuer la lecture de « Authentifizierung am Registrierungsdienst für Netzwerkgeräte (NDES) mit einem existierenden Zertifikat (Renewal-Modus) »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur „Failed to Enroll RA certificates. Le modèle de certificat demandé n'est pas supporté par cette CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“ »

Y a-t-il une dépendance du service d'enregistrement des périphériques réseau (NDES) avec l'objet NTAuthCertificates ?

Le service d'enregistrement des appareils en réseau (NDES) dispose de deux Autorité d'enregistrement Les certificats. Avec le certificat d'agent d'inscription, les demandes de certificat sont signées et on peut Configurer le modèle d'appareil NDES de manière à ce que les certificats ne soient délivrés que si les demandes de certificats soumises comportent une signature correspondante..

Si l'on prévoit de faire appel à l'autorité de certification associée au NDES supprimer de l'objet NTAuthCertificates, La question se pose de savoir s'il faut tenir compte de l'interdépendance - après tout, le fait d'avoir des enfants ne signifie pas qu'ils n'en ont pas besoin. Enroll on Behalf Of (EOBO) (inscription à l'appui) la présence du certificat d'autorité de certification dans NTAuthCertificates.

Continuer la lecture de « Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt? »

Details zum Ereignis mit ID 55 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft-Windows-NetworkDeviceEnrollmentService
ID de l'événement :55 (0x37)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :The Network Device Enrollment Service policy module could not be stopped (%1). %2
Texte de l'événement (en allemand) :Das Richtlinienmodul „Registrierungsdienst für Netzwerkgeräte“ konnte nicht beendet werden (%1). %2
Continuer la lecture de « Details zum Ereignis mit ID 55 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Details zum Ereignis mit ID 52 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft-Windows-NetworkDeviceEnrollmentService
ID de l'événement :52 (0x34)
Journal des événements :Application
Type d'événement :Information
Texte de l'événement (en anglais) :The Network Device Enrollment Service policy module was started successfully.
Texte de l'événement (en allemand) :Das Richtlinienmodul „Registrierungsdienst für Netzwerkgeräte“ wurde erfolgreich gestartet.
Continuer la lecture de « Details zum Ereignis mit ID 52 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft-Windows-NetworkDeviceEnrollmentService
ID de l'événement :53 (0x35)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :The Network Device Enrollment Service policy module could not be started (%1). %2
Texte de l'événement (en allemand) :Das Richtlinienmodul „Registrierungsdienst für Netzwerkgeräte“ konnte nicht gestartet werden (%1). %2
Continuer la lecture de « Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Details zum Ereignis mit ID 54 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft-Windows-NetworkDeviceEnrollmentService
ID de l'événement :54 (0x36)
Journal des événements :Application
Type d'événement :Information
Texte de l'événement (en anglais) :The Network Device Enrollment Service policy module was stopped successfully.
Texte de l'événement (en allemand) :Das Richtlinienmodul „Registrierungsdienst für Netzwerkgeräte“ wurde erfolgreich beendet.
Continuer la lecture de « Details zum Ereignis mit ID 54 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Details zum Ereignis mit ID 43 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft-Windows-NetworkDeviceEnrollmentService
ID de l'événement :43 (0x2B)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :EVENT_MSCEP_INVALID_USAGE_FOR_PASSWORD
Texte de l'événement (en anglais) :This password has already been used to request a (%1) certificate. Only one signing certificate and one exchange certificate can be issued per password. Obtain a new password to use with this request, or create a new request with a different key usage and the same password, then try again.
Texte de l'événement (en allemand) :Dieses Kennwort wurde bereits zum Anfordern eines (%1) Zertifikats verwendet. Pro Kennwort kann nur ein Signaturzertifikat und ein Austauschzertifikat ausgestellt werden. Legen Sie ein neues Kennwort für diese Anforderung fest, oder erstellen Sie eine neue Anforderung mit einer anderen Schlüsselverwendung und dem gleichen Kennwort. Wiederholen Sie dann den Vorgang.
Continuer la lecture de « Details zum Ereignis mit ID 43 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais