Catégorie : Autorité de certification

L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une nouvelle autorité de certification est installée.
  • Après la configuration du rôle d'autorité de certification et l'émission du certificat d'autorité de certification, celui-ci doit maintenant être installé sur l'autorité de certification.
  • Un module de sécurité matériel (HSM) est utilisé pour protéger la clé privée du certificat de l'autorité de certification.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate public key does not match the current outstanding request.
The wrong request may have been used to generate the new certificate:  Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »

La reconnexion à la clé privée échoue avec le message d'erreur "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

Cannot find the certificate and private key for decryption.
CertUtil: -repairstore command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
CertUtil: Cannot find object or property.
Continuer la lecture de « Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

L'installation des modèles de certificats par défaut échoue avec le message d'erreur "This security ID may not be assigned as the owner of this object".

Supposons le scénario suivant :

  • Une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority) doit être installée pour la première fois dans le réseau.
  • Pour des raisons de sécurité, les droits d'installation de l'autorité de certification ont été délégués à un groupe de sécurité ou à un compte séparé, de sorte qu'il n'est pas nécessaire de se connecter en tant qu'administrateur d'entreprise. Formulé dans l'autre sens : L'utilisateur utilisé n'est pas membre du groupe "Enterprise Administrators" dans la structure globale d'Active Directory.
  • Comme il s'agit de la première autorité de certification dans le réseau, il n'y a pas encore d'autorité de certification. Modèles de certificats standard est installé dans l'Active Directory. En ouvrant la console de gestion des modèles de certificats (certtmpl.msc), on est invité à les installer.
  • L'installation échoue avec le message d'erreur suivant :
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.
Continuer la lecture de « Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung „This security ID may not be assigned as the owner of this object.“ »

Délivrer des certificats avec une durée de validité raccourcie

Il est parfois nécessaire d'émettre des certificats avec une durée de validité plus courte que celle configurée dans le modèle de certificat. C'est peut-être pour cela que l'on ne souhaite pas reconfigurer immédiatement le modèle de certificat ou créer un autre modèle de certificat.

Continuer la lecture de « Zertifikate mit verkürzter Gültigkeitsdauer ausstellen »

Les certificats d'autorité racine sont importés dans la liste de certificats d'autorité de certification intermédiaire des membres du domaine.

Certains auront sans doute remarqué que la liste de certificats pour les autorités de certification intermédiaires contient généralement aussi des certificats pour les autorités de certification racines.

En règle générale, ce comportement n'est pas critique. Dans certains cas cela peut toutefois entraîner des problèmes avec les applications.

Continuer la lecture de « Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert »

Établir une correspondance entre un certificat d'utilisateur et l'ordinateur correspondant

Supposons le scénario suivant :

  • L'ordinateur d'un utilisateur est détourné ou infecté par un logiciel malveillant.
  • L'intégrité des certificats se trouvant sur l'ordinateur ne peut plus être garantie.
  • Les certificats de l'utilisateur/de l'utilisatrice qui ont été demandés sur cet ordinateur doivent être révoqués.
  • On souhaite toutefois éviter de révoquer tous les certificats d'un utilisateur.
  • Il faut donc établir un lien entre les certificats de l'utilisateur et l'ordinateur sur lequel ils ont été demandés.

Si les certificats ont été envoyés par Autoenrollment nous pouvons tirer parti du fait qu'un attribut correspondant faisait partie de la demande de certificat initiale et que la demande de certificat est stockée avec le certificat dans la base de données de l'autorité de certification.

Continuer la lecture de « Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen »

Récupération des certificats à partir des données du module de sortie SMTP

Restaurer une autorité de certification après une catastrophe à partir d'une sauvegarde (backup)Si l'on se réfère à l'article 6 de la loi sur la protection des données, il est probable que l'on constate que des certificats ont été émis entre la dernière sauvegarde et la panne du système, avec la perte de données qui s'ensuit.

Ces certificats ne sont pas enregistrés dans la base de données de l'autorité de certification restaurée et ne peuvent donc pas être restaurés en cas de besoin.

Si l'on utilise le module SMTP Exit, on peut au moins déterminer les numéros de série des certificats à partir des e-mails envoyés et les révoquer.

Continuer la lecture de « Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „ Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL). “

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).“ »

L'extension de certificat "Application Policies

Les extensions de certificat „ Key Usage “ et „ Extended Key Usage “ permettent de contrôler les fins auxquelles un certificat numérique peut être utilisé.

Dans l'extension de certificat „ Extended Key Usage “, les des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Continuer la lecture de « Die „Application Policies“ Zertifikaterweiterung »

De nouveaux certificats sont régulièrement demandés via l'auto-inscription.

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour la demande et l'émission automatiques (AutoEnrollment).
  • Les utilisateurs ou les ordinateurs demandent régulièrement de nouveaux certificats, bien avant la période de renouvellement définie.
Continuer la lecture de « Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt »

L'algorithme de la clé des demandes de certificat n'est pas vérifié par le module Policy de l'autorité de certification.

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour l'utilisation de clés basées sur des courbes elliptiques (par exemple ECDSA_P256).
  • En conséquence, une longueur de clé minimale de 256 bits est configurée.
  • Les demandes de certificats qui utilisent d'autres courbes ECC ou des clés basées sur RSA sont néanmoins également signées.
Continuer la lecture de « Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft »

De zéro à administrateur d'entreprise grâce au service d'enregistrement des périphériques réseau (NDES) – et comment y remédier

Je voudrais présenter ci-après une configuration PKI extrêmement dangereuse, qui n'est peut-être pas forcément connue du grand public, mais qui est probablement très courante dans les réseaux d'entreprise.

Je montre comment, en exploitant diverses circonstances malheureuses dans l'infrastructure PKI Windows, il est possible d'obtenir une augmentation des droits, allant du simple accès au réseau à la prise de contrôle totale de l'Active Directory.

Dans cet exemple, le point d'attaque initial est le service d'enregistrement des périphériques réseau (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »

L'installation d'une autorité de certification échoue avec le message d'erreur „The Certification Authority is already installed“.“

Supposons le scénario suivant :

  • Une autorité de certification est installée.
  • Une erreur est survenue lors de l'installation, ce qui a nécessité une nouvelle tentative.
  • Le rôle d'autorité de certification a été désinstallé et la configuration du rôle a ensuite été réessayée.
  • La configuration des rôles échoue avec le message d'erreur suivant :
The Certification Authority is already installed. If you are trying to reinstall the role service, you must first uninstall it.
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung „The Certification Authority is already installed.“ »

L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".

Supposons le scénario suivant :

  • Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
  • L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »

La révocation d'un certificat émis échoue avec le message d'erreur „The data is invalid. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA)“.“

Supposons le scénario suivant :

  • Un certificat est révoqué via la ligne de commande (certutil -revoke).
  • L'opération échoue avec le message d'erreur suivant :
ICertAdmin::RevokeCertificate: The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
Continuer la lecture de « Der Widerruf eines ausgestellten Zertifikats schlägt fehl mit Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais