Pour utiliser le Online Certificate Status Protocol (OCSP), il est nécessaire de configurer un modèle de certificat correspondant.
Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Onlineresponder (OCSP) Antwortsignatur-Zertifikate »Catégorie : Protocole de statut des certificats en ligne (OCSP)
Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue
Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.
Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.
Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »Limites des services de certificats Microsoft Active Directory
Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory basierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.
On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.
Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.
Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“
Supposons le scénario suivant :
- Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
- Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).Continuer la lecture de « Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »
L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".
Supposons le scénario suivant :
- Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
- L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »
Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)
Les certificats disposent généralement de l'extension „CRL Distribution Points“, qui permet d'indiquer à une application où se trouve la liste de diffusion associée au certificat. Liste de révocation des certificats (CRL) est à trouver.
Celui-ci ressemble à un annuaire téléphonique : On y trouve tous les numéros de série des certificats rappelés par l'autorité de certification (et encore valables). Chaque application qui vérifie le statut de révocation doit télécharger et évaluer la liste de révocation complète.
Plus la taille augmente, plus cette procédure devient inefficace. En règle générale, 100 000 certificats rappelés correspondent déjà à une taille de fichier d'environ 5 Mo pour la liste de révocation.
Le Online Certificate Status Protocol (OCSP) a été développé à cet effet (sous la direction de la société ValiCert) : Il s'agit d'un service d'information qui permet aux applications de demander le statut de révocation de certificats individuels, ce qui évite de devoir télécharger la CRL complète. OCSP est disponible dans le RFC 6960 est spécifiée.
Continuer la lecture de « Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP) »Aperçu des possibilités de paramétrage pour les configurations de blocage du répondeur en ligne (OCSP)
Si une configuration de blocage est configurée pour un répondeur en ligne, il existe différentes possibilités de réglage qui sont abordées ci-dessous.
Continuer la lecture de « Übersicht über die Einstellungsmöglichkeiten für Sperrkonfigurationen des Onlineresponders (OCSP) »Le répondeur en ligne (OCSP) signale „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“
Supposons le scénario suivant :
- Un répondeur en ligne (OCSP) est configuré sur le réseau.
- Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
- La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider The revocation provider failed with the current configuration. The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE), 0x80092013Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“ »
Le répondeur en ligne (OCSP) signale „The object identifier does not represent a valid object. 0x800710d8 (WIN32 : 4312 ERROR_OBJECT_NOT_FOUND)“.“
Supposons le scénario suivant :
- Un répondeur en ligne (OCSP) est configuré sur le réseau.
- Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
- La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider The revocation provider failed with the current configuration. The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND), 0x800710d8Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND)“ »
Liste des cas d'utilisation des certificats nécessitant des fournisseurs de services cryptographiques (CSP) ou des fournisseurs de stockage de clés (KSP) spécifiques
Avec Windows Server 2008, les algorithmes NSA Suite B (également connus sous le nom de Cryptography Next Generation, CNG) ont introduit, avec les fournisseurs de stockage de clés, une nouvelle interface moderne pour la création, le stockage et l'utilisation de clés privées dans l'écosystème Windows.
Dans la plupart des cas, le CSP ou le KSP utilisé pour les certificats n'a pas d'importance. Toutefois, certaines applications ne fonctionneront pas ou pas correctement si le fournisseur choisi n'est pas le bon.
Voici une liste des cas d'utilisation que je connais pour les certificats qui ne fonctionnent qu'avec un fournisseur de services cryptographiques (CSP) ou un fournisseur de stockage de clés (KSP) spécifique.
Continuer la lecture de « Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen »Le contrôle de blocage via le répondeur en ligne (OCSP) échoue avec le code d'erreur HTTP 404 (HTTP_E_STATUS_NOT_FOUND)
Supposons le scénario suivant :
- Après l'installation d'un répondeur en ligne (OCSP), la mise en place d'une configuration de blocage et l'adaptation de l'autorité de certification ou de l'autorité de certification, il est possible d'utiliser le système d'authentification. Configuration d'une stratégie de groupe qui oblige les clients à utiliser le répondeur en ligne, tombe lors de la Test de fonctionnement que celui-ci ne fonctionne pas.
- Le contrôle de l'adresse OCSP signale le statut HTTP 404 (not found).
forcer les contrôleurs de domaine (ou autres participants) à utiliser un répondeur en ligne (OCSP)
Par défaut, les systèmes Windows, même si un répondeur en ligne (OCSP) est configuré, sont envoyés à l'adresse suivante d'un certain nombre de requêtes OCSP de retomber sur une liste de blocage (si elle existe), car cela est généralement plus efficace dans un tel cas. Mais ce comportement n'est pas toujours souhaité.
Par exemple, si vous utilisez des inscriptions par carte à puce, vous voudrez peut-être savoir si des inscriptions ont été effectuées avec des certificats délivrés sans autorisation. En relation avec le déterministe Good du répondeur en ligne il est possible d'établir un rapport (presque) complet Chemin d'audit pour toutes les inscriptions par carte à puce.
Continuer la lecture de « Domänencontroller (oder andere Teilnehmer) zwingen, einen Onlineresponder (OCSP) zu verwenden »Configurer le „Magic Number“ pour le répondeur en ligne
Même si un répondeur en ligne est présent sur le réseau et que les autorités de certification ont inscrit son adresse dans l'extension Authority Information Access (AIA) des certificats délivrés, il n'est pas toujours garanti que le répondeur en ligne soit effectivement utilisé.
Le „Magic Number“, présent sur chaque système d'exploitation Windows, est une variable d'ajustement. Il a pour effet que le système se replie sur les listes de blocage (si elles existent) si trop de demandes sont faites par OCSP pour la même autorité de certification.
Continuer la lecture de « Die „Magic Number“ für den Onlineresponder konfigurieren »Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)
Voici un aperçu des événements d'audit générés par le répondeur en ligne dans l'Observateur d'événements de Windows.
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Continuer la lecture de « Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse »Configurer le "bon" déterministe pour le répondeur en ligne (OCSP)
Dans la configuration standard, le répondeur en ligne renvoie le statut „Good“ pour les certificats demandés qui n'apparaissent pas sur l'une des listes de révocation configurées.
Cela peut poser problème, car le répondeur en ligne n'a pas connaissance des certificats émis par les autorités de certification. Si un attaquant parvenait à émettre un certificat à l'aide de la clé privée de l'autorité de certification sans en avoir connaissance, cela ne serait pas détecté par le répondeur en ligne et ne serait pas non plus pris en compte dans le système. Protocole d'audit apparaissent comme „Good“.
Continuer la lecture de « Deterministisches „Good“ für den Onlineresponder (OCSP) konfigurieren »
Français 
Deutsch 
English