Catégorie : Autorité de certification

Interrogation des points de terminaison RPC configurés d'une autorité de certification

Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).

Il est toutefois également possible de configurer l'autorité de certification sur un port statique (voir l'article „Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)„ ).

La procédure suivante décrit comment vérifier la configuration actuelle de l'autorité de certification.

Continuer la lecture de « Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle »

Classification des composants ADCS dans le modèle hiérarchique administratif (Administrative Tiering Model)

Si, outre les services de certificats Active Directory, on implémente également le modèle de stratification administrative (Administrative Tiering Model) pour le service d'annuaire Active Directory, la question se pose alors de l'affectation des différents composants PKI dans ce modèle afin de pouvoir procéder à un renforcement ciblé de la sécurité.

Continuer la lecture de « Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) »

Envoyer une demande de certificat créée manuellement à une autorité de certification

Si une demande de certificat, par exemple après création manuelle, est disponible sous forme de fichier texte (généralement avec l'extension .CSR ou .REQ), celle-ci peut être envoyée à l'autorité de certification à l'aide des outils intégrés.

Continuer la lecture de « Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden »

Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services

Lors de la configuration des paramètres d'audit d'une autorité de certification, on est tenté de sélectionner l'option „ Démarrer et arrêter les services de certificats Active Directory “. Cette option peut toutefois poser des problèmes dans certaines circonstances.

Continuer la lecture de « Performanceprobleme bei Auditierung von „Start and stop Active Directory Certificate Services“ »

Plus qu'un nom commun (Common Name, CN) dans le certificat

De nos jours, cela relève davantage de la curiosité que de la pratique, mais il arrive parfois que l'on reçoive des demandes de certificats contenant plus d'un nom commun (Common Name) dans l'objet (Subject). Même si cela peut paraître étonnant, cela est tout à fait possible et conforme à la norme RFC.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Le module SMTP Exit ne fonctionne pas sur Windows Server Core

Supposons le scénario suivant :

  • Un service de certification est installé sur Windows Server Core.
  • Le SMTP fourni avec l'autorité de certification est utilisé. Module de sortie configuré.
  • Cependant, l'organisme de certification n'envoie pas d'e-mails.
  • Dans le journal des événements, le Événement n° 46 avec le message d'erreur suivant :
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
Continuer la lecture de « Das SMTP Exit Modul funktioniert nicht auf Windows Server Core »

Autoriser la demande d'une clé de signature spécifique auprès d'une autorité de certification

L'autorité de certification Microsoft signe toujours les certificats avec la clé associée au certificat d'autorité de certification le plus récent. Le certificat de signature pour une réponse OCSP doit être conforme à RFC 6960 mais être signés par la même clé que le certificat à vérifier :

L'autorité de certification DEVRAIT utiliser la même clé d'émission pour émettre un certificat de délégation que celle utilisée pour signer le certificat dont la révocation est vérifiée.

https://tools.ietf.org/html/rfc6960#section-4.2.2.2

Si le certificat de l'autorité de certification est renouvelé et qu'une nouvelle paire de clés est utilisée, il est toutefois nécessaire que le répondeur en ligne conserve les certificats de signature valides pour les certificats délivrés avec le certificat précédent de l'autorité de certification, car ceux-ci restent valides et doivent être vérifiés pour voir s'ils ont été bloqués.

Continuer la lecture de « Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben »

La demande de certificat échoue avec le message d'erreur „ Le système ne trouve pas le fichier spécifié. 0x80070002 (WIN32 : 2 ERROR_FILE_NOT_FOUND) “.“

Supposons le scénario suivant :

  • Une demande de certificat est envoyée à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Error Parsing Request The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“ »

La demande de certificat échoue avec le message d'erreur „ Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). “

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Denied by Policy Module.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »

Matrice de migration Windows Server pour l'autorité de certification

Au plus tard lorsque le Fin du support du produit par le fabricant (Microsoft) approche, la question se pose de savoir comment et vers quel système d'exploitation une autorité de certification doit migrer.

Continuer la lecture de « Windows Server Migrations-Matrix für die Zertifizierungsstelle »

Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur

Souvent, une autorité de certification a une durée de vie nettement plus longue que le serveur sur lequel elle a été installée. Les raisons pouvant justifier la migration de l'autorité de certification vers un nouveau serveur, c'est-à-dire en conservant les données, peuvent être les suivantes :

  • Défaut ou fin de vie du matériel serveur
  • Fin de vie du système d'exploitation du serveur
  • Modification du nom du serveur

La procédure de migration est décrite en détail ci-dessous.

Continuer la lecture de « Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server »

Fin du support du produit par le fabricant (Microsoft)

Chaque système d'exploitation Windows Server a une date de fin définie à partir de laquelle le fabricant ne fournit plus d'assistance pour le produit. Les autorités de certification sont également liées à cette date et doivent donc être migrées avant cette date.

Continuer la lecture de « Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) »

Le service d'autorité de certification ne démarre pas et renvoie le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »

Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen »

Réaliser un test de fonctionnement pour un organisme de certification

Après l'installation d'une autorité de certification, après la migration vers un nouveau serveur ou après des travaux de maintenance importants, un test fonctionnel complet doit être effectué afin de s'assurer que tous les composants de l'autorité de certification fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais