Catégorie : Utilisation du certificat

Code d'erreur HTTP 403 lors de la connexion à Internet Information Services (IIS) à l'aide d'un certificat client après le renouvellement du certificat du serveur web

Supposons le scénario suivant :

  • Un utilisateur ou une application consulte une page web ou une application web exécutée sur un serveur web Internet Information Services (IIS).
  • Le serveur web est configuré de telle sorte qu'un certificat client est demandé pour la ressource appelée.
  • Bien qu'il existe un certificat client valide sur le client, le code d'erreur 403 Forbidden est immédiatement renvoyé. L'utilisateur n'est pas invité à choisir un certificat (lors de l'ouverture de la page avec un navigateur).
  • Le certificat du serveur web a été récemment renouvelé et la liaison SSL IIS a été configurée en conséquence via le gestionnaire IIS.
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats »

La demande de certificat échoue avec le message d'erreur „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“.“

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“ »

Microsoft Outlook : trouver les certificats des destinataires pour les e-mails cryptés S/MIME

Pour dépanner les messages électroniques cryptés à l'aide de Secure/Multipurpose Internet Mail Extensions (S/MIME), il est possible d'exporter la partie cryptée d'un message. Voir à ce sujet l'article „Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel„ .

Pour savoir avec quels certificats un message a été chiffré, on peut procéder comme suit...

Continuer la lecture de « Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden »

Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel

La partie chiffrée d'un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME) est toujours contenue dans un fichier appelé „smime.p7m“, joint au message.

Outlook n'affiche pas cette pièce jointe, mais il est possible de l'utiliser à des fins d'analyse avec l'outil gratuit mis à disposition par Microsoft. MFCMAPI être extraites de l'e-mail.

Continuer la lecture de « Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail »

La demande de certificat échoue avec le message d'erreur „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“.“

Supposons le scénario suivant :

  • Une tentative de demande de certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise CA) pour un utilisateur ou un ordinateur est en cours.
  • La demande de certificat échoue avec le message d'erreur suivant :
The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).“ »

Microsoft Outlook : Impossible d'ouvrir les e-mails chiffrés avec S/MIME. Le message d'erreur „Your digital ID name cannot be found by the underlying security system“ apparaît.“

Supposons le scénario suivant :

  • Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • Le message ne peut pas être ouvert.
  • Le message d'erreur suivant s'affiche à l'ouverture du message :
Sorry, we're having trouble opening this item. This could be temporary, but if you see it again you might want to restart Outlook. Your digital ID name cannot be found by the underlying security system.
Continuer la lecture de « Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung „Your digital ID name cannot be found by the underlying security system.“ »

Microsoft Outlook : les e-mails correctement signés (S/MIME) sont affichés comme non valides après l'expiration du certificat de signature

Supposons le scénario suivant :

  • Un utilisateur a reçu un message électronique dans le passé.
  • Le message a été signé avec un certificat S/MIME.
  • Le certificat de signature de l'expéditeur a été délivré par une autorité de certification à laquelle le destinataire a accordé le statut de confiance.
  • La signature a donc été reconnue comme valide au moment de la réception du message.
  • L'utilisateur rouvre le courrier quelque temps plus tard et constate que la signature est considérée comme non valide.
Continuer la lecture de « Microsoft Outlook: Korrekt signierte E-Mails (S/MIME) werden nach Ablauf des Signaturzertifikats als ungültig angezeigt »

Principes de base : Enroll on Behalf of (EOBO)

Vous trouverez ci-dessous une description de la fonction Enroll on Behalf Of ainsi qu'une délimitation par rapport aux autres méthodes de demande de certificats.

Continuer la lecture de « Grundlagen: Enroll on Behalf of (EOBO) »

La demande d'un certificat via Enroll on Behalf of (EOBO) échoue avec le message d'erreur „The operation is denied. Elle ne peut être effectuée que par un gestionnaire de certificats autorisé à gérer les certificats pour le demandeur actuel“.“

  • Un certificat est demandé pour un utilisateur auprès d'une autorité de certification via la console de gestion des certificats (certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • La demande de certificat échoue avec le message d'erreur suivant :
The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester.
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung „The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester.“ »

La demande d'un certificat via Enroll on Behalf of (EOBO) échoue avec le message d'erreur „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“.“

  • Un certificat est demandé pour un utilisateur auprès d'une autorité de certification via la console de gestion des certificats (certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Configuration de l'attestation de clé du module TPM (Trusted Platform Module)

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. L'autorité de certification, lorsqu'elle demande un certificat ne pas vérifier explicitement si un module Trusted Platform a vraiment été utilisé.

Pour s'assurer que la clé privée d'une demande de certificat a bien été protégée par un module Trusted Platform, il ne reste donc que l'attestation de clé TPM.

Continuer la lecture de « Konfigurieren der Trusted Platform Module (TPM) Key Attestation »

Demande manuelle d'un certificat de serveur web

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de serveur web directement auprès d'une autorité de certification de sa propre structure globale Active Directory via la Microsoft Management Console, par exemple lorsque le système concerné n'est pas membre du domaine.

Dans ce cas, il n'est pas possible d'utiliser des modèles de certificats et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Webserver-Zertifikats »

Détails de l'événement avec ID 4 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :4 (0x425A0004)
Journal des événements :Application
Type d'événement :Information
Texte de l'événement (en anglais) :L'inscription au certificat pour %1 n'a pas permis d'accéder aux ressources locales ou de récupérer les informations du modèle de certificat %2 (%3). L'enrôlement n'a pas été effectué.
Texte de l'événement (en allemand) :Le registre de certificats pour %1 n'a pas pu accéder aux ressources locales ou récupérer les informations de modèle de certificat pour %2 (%3). Aucun enregistrement n'est effectué.
Continuer la lecture de « Details zum Ereignis mit ID 4 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Détails de l'événement avec ID 13 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :13 (0xC25A000D)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :L'inscription au certificat pour %1 a échoué pour un certificat %2 avec l'ID de demande %4 de %3 (%5).
Texte de l'événement (en allemand) :Le registre de certificats pour %1 n'a pas pu s'enregistrer pour un certificat %2 avec l'ID de requête %4 de %3 (%5).
Continuer la lecture de « Details zum Ereignis mit ID 13 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Détails de l'événement avec ID 57 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :57 (0x825A0039)
Journal des événements :Application
Type d'événement :Information, avertissement et erreur
Texte de l'événement (en anglais) :Le fournisseur „%2“ n'a pas été chargé car l'initialisation a échoué.
Texte de l'événement (en allemand) :Le fournisseur „%2“ n'a pas été chargé en raison d'une erreur d'initialisation.
Continuer la lecture de « Details zum Ereignis mit ID 57 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais