Catégorie : Utilisation du certificat

Détails de l'événement avec ID 82 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :82 (0x825A0052)
Journal des événements :Application
Type d'événement :Avertissement
Texte de l'événement (en anglais) :L'inscription au certificat pour %1 a échoué dans l'authentification à toutes les url pour le serveur d'inscription associé à l'identifiant de politique : %2 (%4). Echec de l'inscription pour le modèle : %3
Texte de l'événement (en allemand) :Erreur d'enregistrement de certificat pour %1 lors de l'authentification pour toutes les URL pour le serveur de registre associé à l'ID de stratégie suivante : %2 (%4). Erreur d'enregistrement pour le modèle : %3
Continuer la lecture de « Details zum Ereignis mit ID 82 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

La demande d'un certificat échoue avec le message d'erreur „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“

Supposons le scénario suivant :

  • Un certificat est demandé à une autorité de certification.
  • Le certificat est délivré avec succès par l'autorité de certification.
  • Cependant, lors de l'installation du certificat sur le système cible, le message d'erreur suivant apparaît :
A certificate issued by the certification authority cannot be installed. Contact your administrator.
Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

Demander un certificat protégé par un Trusted Platform Module (TPM) - sans posséder de TPM

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. Lors de la demande, l'autorité de certification ne vérifiera pas explicitement si un module Trusted Platform a vraiment été utilisé.

Ainsi, si la demande de certificat est effectuée en dehors de la MMC, n'importe quel paramètre peut être utilisé pour la clé privée.

Continuer la lecture de « Beantragen eines durch ein Trusted Platform Modul (TPM) geschütztes Zertifikat – ohne ein TPM zu besitzen »

La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
  • Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property.
Can not find a valid CSP in the local machine.
Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »

Configuration d'un modèle de certificat pour l'utilisation du Microsoft Platform Crypto Provider afin de permettre la protection de la clé privée par un Trusted Platform Module (TPM)

Depuis Windows 8, il est possible de protéger les clés privées des certificats à l'aide d'un module de plate-forme de confiance (TPM), si celui-ci est disponible. Cela permet une véritable non-exportabilité de la clé.

Le processus de configuration d'un modèle de certificat utilisant un module Trusted Platform est décrit ci-dessous.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen »

La demande d'un certificat protégé par Trusted Platform Module (TPM) échoue avec le message d'erreur „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour l'utilisation du Microsoft Platform Crypto Provider, de sorte que la clé privée générée lors de la demande de certificat est protégée par un Trusted Platform Module (TPM).
  • Cependant, la demande de certificats échoue avec le message d'erreur suivant :
An error occurred while enrolling for a certificate.
A certificate request could not be created.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)
Continuer la lecture de « Die Beantragung eines Trusted Platform Module (TPM) geschützten Zertifikats schägt fehl mit Fehlermeldung „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“ »

Google Chrome et Microsoft Edge ne vérifient pas l'état de révocation des certificats

De plus en plus d'entreprises utilisent comme navigateur par défaut sur la plateforme Windows le navigateur Google Chrome ou le nouveau Microsoft Edge basé sur Chromium (nom de code Anaheim).

Lors de la distribution de l'un de ces deux navigateurs, il convient de tenir compte du fait qu'ils se comportent en partie différemment des autres navigateurs en ce qui concerne les certificats.

Outre le fait que Chromium, contrairement à Internet Explorer et au précédent Edge (nom de code Spartan) qui impose le RFC 2818, il se comporte aussi en Vérification des informations de blocage différent.

Continuer la lecture de « Google Chrome und Microsoft Edge prüfen Sperrstatus von Zertifikaten nicht »

Microsoft Outlook : voir quel algorithme a été utilisé pour un courriel chiffré ou signé S/MIME

Nous décrivons ci-dessous l'endroit où l'on peut voir quel algorithme symétrique a été utilisé pour le cryptage d'un courriel reçu et quel algorithme de hachage a été utilisé pour un courriel signé.

Continuer la lecture de « Microsoft Outlook: Einsehen, welcher Algorithmus für eine S/MIME verschlüsselte oder signierte E-Mail verwendet wurde »

Microsoft Outlook : Contrôler l'algorithme de cryptage utilisé pour S/MIME

Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.

Microsoft Outlook utilise (si elles sont disponibles et nécessaires) les informations contenues dans l'extension „S/MIME Capabilities“ d'un certificat. La manière dont cette utilisation est effectuée et les algorithmes choisis sont décrits ci-dessous.

Continuer la lecture de « Microsoft Outlook: Den verwendeten Verschlüsselungsalgorithmus für S/MIME steuern »

L'extension de certificat "S/MIME Capabilities

Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.

Entre autres, l'extension de Microsoft Outlook est évaluée et utilisée pour déterminer l'algorithme symétrique d'un e-mail crypté.

Continuer la lecture de « Die „S/MIME Capabilities“ Zertifikaterweiterung »

Étendre l'extension de certificat „S/MIME Capabilities“ aux algorithmes Cryptography Next Generation (CNG) dans les certificats émis.

Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.

Si l'on jette un coup d'œil aux algorithmes symétriques contenus dans un tel certificat, on constatera probablement que la liste contient plutôt des algorithmes obsolètes - le plus „fort“ de ces algorithmes est le Triple DES (3DES), désormais considéré comme dépassé.

Continuer la lecture de « Die „S/MIME Capabilities“ Zertifikaterweiterung in ausgestellten Zertifikaten um die Cryptography Next Generation (CNG) Algorithmen erweitern »

Utiliser SSH (PuTTY) sous Windows avec un certificat / une carte à puce

L'administration sécurisée d'un système Linux implique d'éviter les connexions SSH par mot de passe et d'utiliser à la place une connexion par clé RSA.

Le standard de facto pour les connexions SSH sur Windows est PuTTY. Ici, l'ouverture de session avec des clés RSA est certes implémentée, mais seuls des fichiers de clés peuvent être utilisés, ce qui présente l'inconvénient qu'ils se trouvent presque sans protection dans le système de fichiers.

Une option intéressante serait certainement d'utiliser des clés RSA issues du monde Windows, et peut-être même stockées sur une carte à puce physique ou virtuelle.

Continuer la lecture de « SSH (PuTTY) auf Windows mit einem Zertifikat / einer Smartcard verwenden »

Utilisation de noms distinctifs relatifs (RDN) non définis dans les certificats délivrés

Il est parfois nécessaire d'autoriser les noms distinctifs relatifs (RDN) dans les certificats délivrés qui ne sont pas définis et qui ne sont donc pas inclus dans le certificat. SubjectTemplate valeur de l'enregistrement de l'autorité de certification pourraient être configurés.

Un exemple est l'identifiant d'organisation avec l'identifiant d'objet 2.5.4.97, qui est par exemple nécessaire pour les certificats utilisés pour la eIDAS sont conformes au règlement.

Continuer la lecture de « Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten »

Installer SSCEP pour Linux (Debian Buster) et demander des certificats via le service d'enregistrement des périphériques réseau (NDES)

Si l'on souhaite équiper une grande quantité de systèmes avec des certificats, il faut une demande manuelle et le renouvellement des certificats ne sont pas une option. La seule voie possible est l'automatisation.

Pour les systèmes qui ne sont pas membres de la structure globale d'Active Directory, une demande automatique de certificat via RPC/DCOM pas une option.

Pour certains cas d'application, le Simple Certificate Enrollment Protocol (SCEP) est une alternative intéressante. Pour ce protocole, il n'existe pas seulement des clients pour Windows, mais aussi pour Linux avec SSCEP. SSCEP est notamment utilisé par les clients légers avec le protocole Système d'exploitation eLux est utilisé.

Voici comment configurer le client SSCEP sur un système Debian Buster Linux, soit pour administrer des serveurs, soit pour tester le comportement côté client.

Continuer la lecture de « SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen »

Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell

Si l'on souhaite équiper de certificats des systèmes Windows qui n'ont pas la possibilité de communiquer directement avec une autorité de certification intégrée à Active Directory ou qui ne se trouvent pas du tout dans la même structure globale d'Active Directory, il ne reste dans la plupart des cas que l'installation manuelle des certificats.

Depuis Windows 8.1 / Windows Server 2012 R2, un client intégré pour le Simple Certificate Enrollment Protocoll (SCEP) se trouve toutefois à bord. Côté serveur, SCEP est géré par le Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) mis en œuvre dans l'infrastructure à clés publiques de Microsoft depuis Windows Server 2003.

Une caractéristique particulièrement intéressante de SCEP est que le protocole permet de renouveler un certificat en indiquant un certificat déjà existant. Quoi de plus logique donc que d'utiliser cette interface ? Ce qui manque encore, c'est une automatisation correspondante via Windows PowerShell.

Continuer la lecture de « Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais