Catégorie : Utilisation du certificat

Chrome et Safari limitent les certificats SSL à un an de validité

Apple a récemment annoncé que le navigateur Safari n'acceptera désormais plus que les certificats d'une durée de validité de 398 jours, à condition qu'ils aient été émis à partir du 1er septembre 2020.

Mozilla et Google souhaitent implémenter un comportement similaire dans leurs navigateurs. La question se pose donc de savoir si cette modification aura des répercussions sur les autorités de certification internes, c'est-à-dire si, à l'avenir, les certificats SSL internes devront également respecter ces règles, comme c'est le cas par exemple pour l'application du RFC 2818 comme cela a été le cas avec Google.

Continuer la lecture de « Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit »

Plus qu'un nom commun (Common Name, CN) dans le certificat

De nos jours, cela relève davantage de la curiosité que de la pratique, mais il arrive parfois que l'on reçoive des demandes de certificats contenant plus d'un nom commun (Common Name) dans l'objet (Subject). Même si cela peut paraître étonnant, cela est tout à fait possible et conforme à la norme RFC.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Vérification de la connexion à la clé privée d'un certificat (par exemple, lors de l'utilisation d'un module de sécurité matériel)

Für einen Fuktionstest, oder bei einer Fehlersuche kann es sinnvoll sein, zu überprüfen, ob der private Schlüssel eines Zertifikats verwendbar ist. Ist der Schlüssel beispielsweise mit einem Hardware Security Modul (HSM) gesichert, gibt es deutlich mehr Abhängigkeiten und Möglichkeiten für Fehler als bei einem Software-Schlüssel.

Continuer la lecture de « Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls) »

Planification de la validité des certificats et de la période de renouvellement des certificats d'entité finaux avec auto-enrollment

Si l'auto-enrollment est utilisé, les participants demandent eux-mêmes des certificats et les renouvellent également de manière autonome.

En ce qui concerne la validité des certificats et la période de leur renouvellement automatique, il existe deux valeurs qui peuvent être configurées dans l'onglet „General“ d'un modèle de certificat :

  • Période de validité (Validity period) : Décrit la durée de validité totale du certificat délivré.
  • Période de renouvellement (Renewal period) : Décrit à partir de quelle fenêtre, considérée à rebours de la date d'expiration du certificat, le renouvellement automatique est tenté pour la première fois (par ex. 6 semaines avant l'expiration).
Continuer la lecture de « Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment »

Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).

Supposons le scénario suivant :

  • Les certificats pour les contrôleurs de domaine sont émis par une autorité de certification intégrée à Active Directory (Enterprise CA).
  • Le modèle de certificat utilisé à cet effet a été créé par nos soins.
  • Les certificats émis contiennent uniquement le nom complet de l'ordinateur du contrôleur de domaine correspondant dans le champ Subject Alternative Name (SAN), mais pas le nom complet et le nom NETBIOS du domaine.
Continuer la lecture de « Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN) »

La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Supposons le scénario suivant :

  • Un certificat d'autorité de certification est demandé à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“ »

Configurer la contrainte de longueur de chemin (Path Length Constraint) pour les certificats émis par une autorité de certification

Pour renforcer le contrôle sur les certificats pouvant être délivrés par une autorité de certification, il est possible de mettre en place une restriction de longueur de chemin (Path Length Constraint) afin que les autorités de certification situées au-dessus d'un certain niveau hiérarchique ne puissent plus délivrer de certificats d'autorité de certification subordonnés.

Pour une explication du fonctionnement de la limitation de la longueur du chemin, voir l'article „ Principes fondamentaux : contrainte de longueur de chemin (Path Length Constraint) “.

Continuer la lecture de « Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren »

Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)

Pour utiliser des certificats de bureau à distance, il est nécessaire de configurer un modèle de certificat approprié.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate »

Identification du certificat Remote Desktop (RDP) actif

Si l'on a une Modèle de certificat pour les certificats de bureau à distance et une Politique de groupe correspondante configuré, ou Attribuer manuellement un certificat de bureau à distance, il peut être utile de vérifier que les certificats sont correctement utilisés par l'hôte de session Bureau à distance sur les ordinateurs participants.

Continuer la lecture de « Identifizieren des aktiven Remotedesktop (RDP) Zertifikats »

Configuration d'une stratégie de groupe (GPO) pour les certificats RDP (Remote Desktop Protocol)

Une fois qu'un modèle de certificat a été configuré pour la distribution de certificats de bureau à distance (voir l'article „Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)„), une stratégie de groupe est également nécessaire pour demander aux ordinateurs participants d'utiliser les certificats provenant du modèle.

Continuer la lecture de « Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate »

Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)

La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.

La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM) »

Récupération d'un certificat d'autorité de certification avec une clé logicielle

La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.

La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel »

Quelle est l'influence de l'expiration d'un certificat d'organisme de certification sur l'organisme de certification ?

Les certificats d'autorité de certification ont une date de début et une date de fin définies, de sorte qu'il est inévitable que les certificats d'autorité de certification expirent au cours du cycle de vie d'une autorité de certification.

Les conséquences de l'expiration d'un certificat d'autorité de certification pour l'autorité de certification sont décrites ci-dessous.

Continuer la lecture de « Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle? »

Renouveler automatiquement tous les certificats émis pour un modèle de certificat par les titulaires de certificats

Lors de l'exploitation d'une autorité de certification, il peut arriver que tous les certificats émis pour un modèle de certificat donné doivent être renouvelés, par exemple en raison de modifications importantes de la configuration ou d'un changement de l'autorité de certification émettrice. Un mécanisme permettant d'automatiser cette opération est décrit ci-dessous.

Continuer la lecture de « Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen »

Quelle est l'influence de l'expiration de la liste de révocation d'une autorité de certification supérieure sur l'autorité de certification ?

Malheureusement, il arrive parfois dans la pratique que la liste de blocage d'une autorité de certification supérieure expire et ne soit pas renouvelée. Cela peut également se produire de manière planifiée, par exemple lors de la mise hors service d'une ancienne hiérarchie.

Continuer la lecture de « Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle? »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais